Guide de l'administrateur Citrix Password Manager. Citrix Password Manager 4.6 avec Service Pack 1 Citrix XenApp 5.0, édition Platinum

Guide de l'administrateur Citrix Password Manager Citrix Password Manager 4.6 avec Service Pack 1 Citrix XenApp 5.0, édition Platinum

Avis de copyright et de marque déposée L'utilisation du produit documenté dans ce guide est sujette à votre acceptation préalable du Contrat de licence de l'utilisateur final. Une version imprimable du Contrat de licence d'utilisateur final figure sur le support d'installation. Les informations contenues dans ce document peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples fournis sont fictifs. Aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l'autorisation expresse et écrite de Citrix Systems, Inc. Citrix Password Manager remplace des clés de cryptage d'utilisateurs finaux spécifiques chaque fois que leur méthode d'authentification principale est modifiée, par exemple par un changement de mot de passe de domaine ou l'émission d'une nouvelle carte à puce. Il est possible de configurer Password Manager pour qu'il effectue cette opération automatiquement en utilisant le module de gestion des clés fourni en option. Password Manager peut également être configuré pour utiliser l'api de protection des données de Microsoft (DPAPI). Lorsque vous utilisez le module de gestion des clés en option et/ou le DPAPI, notez que les administrateurs sont en mesure d'accéder aux informations d'identification personnelles ou professionnelles d'un utilisateur stockées dans Password Manager, s'ils se connectent sous le compte de cet utilisateur final. Pour plus de sécurité, les utilisateurs finaux peuvent être invités à vérifier leur identité à l'aide d'informations uniques fournies au système. Ceci offre une couche de protection supplémentaire pour les informations d'identification secondaires de l'utilisateur. Des réglementations informatiques au niveau des gouvernements régionaux peuvent nécessiter d'avertir vos utilisateurs finaux des éventuelles implications pour la sécurité et la confidentialité du déploiement de configurations de sécurité du module de gestion des clés et de DPAPI. Passez en revue les règles de votre société et déterminez, le cas échéant, le type de notification requis pour vos utilisateurs finaux. 2003-2008 Citrix Systems, Inc. Tous droits réservés. v-go code 1998-2003 Passlogix, Inc. Tous droits réservés. Citrix, ICA (Independent Computing Architecture) et Program Neighborhood sont des marques déposées, XenApp et SpeedScreen sont des marques de Citrix Systems, Inc. aux États-Unis et dans d'autres pays. Cryptage RSA 1996-1997 RSA Security Inc. Tous droits réservés. Ce produit inclut des composants logiciels développés par The Apache Software Foundation (http://www.apache.org/). Ce produit inclut un logiciel développé par Salamander Software Ltd. 2002 Salamander Software Ltd. Parties 2003 Citrix Systems, Inc. Tous droits réservés. Reconnaissances de marques Adobe, Acrobat et PostScript sont soit des marques de fabrique, soit des marques déposées d'adobe Systems Incorporated aux États-Unis et/ou dans d'autres pays. Java, Sun et SunOS sont des marques de fabrique ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays. Solaris est une marque déposée de Sun Microsystems, Inc. Sun Microsystems, Inc n'a pas testé ni approuvé ce produit. Certaines parties de ce logiciel sont basées sur le travail du groupe Independent JPEG Group. Certaines parties de ce logiciel contiennent du code d'images appartenant à Pegasus Imaging Corporation, Tampa, FL et protégé par copyright. Tous droits réservés. Macromedia est une marque ou une marque déposée de Macromedia, Inc. aux États-Unis et/ou dans d'autres pays. Microsoft, MS-DOS, Windows, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et DirectShow sont soit des marques déposées soit des marques de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corp. aux États-Unis et dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques déposées de Novell, Inc. aux États-Unis et dans d'autres pays. Novell Client est une marque de Novell, Inc. RealOne est une marque de RealNetworks, Inc. FLEXnet Operations et FLEXnet Publisher sont des marques de fabrique et/ou des marques déposées de Acresso Software Inc. et/ou InstallShield Co., Inc. Toutes les autres marques de fabrique, de commerce et de service et autres marques déposées sont la propriété de leurs détenteurs respectifs. Code document : 28 août 2008 (FA)

Table des matières 1 Bienvenue................................................................... 17 Composants de Password Manager............................................17 Magasin central.........................................................17 Console Password Manager...............................................18 Agent Password Manager.................................................19 Service Password Manager................................................21 Gamme de produits Password Manager.........................................21 Password Manager édition Advanced.......................................21 Password Manager édition Enterprise.......................................22 Comparatif entre les deux éditions de Password Manager........................22 Nouvelles fonctionnalités de Citrix Password Manager 4.6.......................24 Prise en charge de Windows Vista pour l'agent Password Manager.............24 Amélioration de l'habilitation des informations d'identification.................24 Prise en charge du service de domaines multiples...........................24 Réponses masquées aux questions de sécurité pour authentification avec questions.25 Disponibilité des fonctions autonomes pendant le verrouillage de l'ordinateur.....25 Nouvelles fonctionnalités de Citrix Password Manager 4.6 avec Service Pack 1......25 Prise en charge de Microsoft Windows Server 2008 et de Microsoft Windows Vista............................................................25 Exportation de définition d'application améliorée............................25 Recherche de documentation.................................................26 Conventions de la documentation..............................................26 Support et formation........................................................27 2 Utilisation des stratégies de mot de passe pour appliquer les critères de mot de passe.................................................................. 29 Présentation des stratégies de mot de passe......................................29 Groupes de partage de mot de passe.........................................30 Groupes de partage de mot de passe de domaine...............................31 Application des stratégies de mot de passe....................................31 Création de stratégies de mot de passe : l'assistant de stratégie de mot de passe.........31

4Guide de l'administrateur Citrix Password Manager Pour démarrer l'assistant de stratégie de mot de passe..........................32 Définition des règles de mot de passe de base.................................32 Définition des règles pour les caractères alphabétiques..........................33 Définition des règles pour les caractères numériques............................33 Définition des règles pour les caractères spéciaux..............................34 Définition de règles d'exclusion (exclusion de caractères spécifiques)..............34 Pour créer une liste d'exclusion..........................................35 Définition de l'historique et de l'expiration du mot de passe......................36 Test de la stratégie de mot de passe..........................................37 Préférences d'authentification..............................................37 Personnalisation de l'assistant de modification de mot de passe...................38 Augmentation de la force des mots de passe et renforcement de la sécurité.............39 3 Utilisation et gestion des définitions d'application.................................. 41 Présentation des modèles d'application.........................................43 Gestion des définitions d'application à l'aide de modèles.........................44 Pour obtenir des modèles d'application sur le Web...........................44 Pour importer des modèles d'application à partir d'un point de partage réseau.....44 Pour créer une définition d'application avec la commande Créer une définition d'application......................................................45 Pour créer une définition d'application avec la commande Gérer les modèles......45 Pour créer des modèles d'application......................................46 Pour exporter des modèles d'application...................................46 Identification des applications et des événements de gestion des informations d'identification par l'agent Password Manager................................................47 Identification des parties de l'interface utilisateur de l'application..................48 Présentation de l'assistant de définition d'application..............................49 Identification de l'application..............................................49 Gestion des formulaires..................................................50 Nom des champs personnalisés.............................................50 Désignation de l'icône....................................................51 Configuration de la détection avancée.......................................51 Boucles de soumission des informations d'identification......................51 Boucle de changement des informations d'identification......................52 Configuration de l'expiration du mot de passe.................................52 Confirmation des réglages.................................................52 Présentation de l'assistant de définition de formulaire..............................53 Définitions d'applications de type Windows.....................................54 Rassemblement des informations requises pour les définitions d'applications Windows...................................................55

Table des matières 5 Processus de définition de formulaire........................................55 Nom du formulaire....................................................56 Identification du formulaire.............................................56 Définition des actions de formulaire......................................59 Autres réglages.......................................................61 Confirmation des réglages..............................................61 Utilisation de la correspondance avancée pour identifier les formulaires Windows....62 Informations de la classe..................................................62 Pour identifier les informations de la classe................................63 Recherche de correspondance du contrôle....................................64 Pour faire correspondre les contrôles......................................64 Informations de session SAP...............................................65 Pour définir les informations de session SAP...............................66 Pour définir les informations de session SAP manuellement...................66 Pour générer un message de script d'interface graphique SAP..................67 Identificateur de fenêtre...................................................67 Extensions d'identification.................................................67 Utilisation de l'éditeur d'action pour définir la séquence d'actions des formulaires.....68 Pour définir une extension d'action :......................................69 Description des actions...................................................70 Définition du texte de contrôle (opération d'id de contrôle)...................70 Soumission du formulaire..............................................71 Envoi de texte à la fenêtre (opération Envoyer frappe clavier)..................71 Envoi de touche d'accès rapide (opération Envoyer frappe clavier)..............71 Envoi de frappe clavier spéciale (opération Envoyer frappe clavier).............71 Insertion d'une pause (opération Envoyer frappe clavier)......................71 Lancer l'extension de l'action (opération avancée)...........................72 Considérations sur les définitions de type Windows............................72 Définitions d'applications de type Web.........................................73 Rassemblement des informations requises pour les définitions d'applications Web....74 Processus de définition de formulaire........................................74 Nom du formulaire......................................................75 Identification du formulaire................................................76 Autres réglages..........................................................77 Confirmation des réglages.................................................77 Assistant de formulaire Web..................................................78 Redirection vers application Windows..........................................78 Boîte de dialogue Paramètres avancés pour les applications Web....................79 Pour créer une entrée de correspondance de détection...........................81 Définitions d'applications de type émulateur de terminal...........................82

6Guide de l'administrateur Citrix Password Manager Rassemblement des informations requises pour les définitions d'applications d'émulateur de terminal.............................................................82 Processus de définition de formulaire........................................83 Nom du formulaire....................................................83 Identification du formulaire.............................................84 Pour ajouter une entrée de qualification de correspondance de texte.............84 Définition des règles de détection de champ................................85 Pour ajouter une entrée de champ........................................85 Autres réglages.......................................................86 Confirmation des réglages..............................................87 Paramètres avancés pour applications d'émulateur de terminal....................87 Paramètres supplémentaires d'un formulaire d'application hôte.................87 Texte à ignorer.......................................................88 Considérations de définitions de type d'émulateur de terminal....................88 Prise en charge de l'émulation de terminal....................................89 Définition de champs dans mfrmlist.ini......................................91 4 Création de configurations utilisateur............................................93 Définition d'une configuration utilisateur........................................93 Propriétés de la configuration utilisateur par défaut.............................94 Avant de commencer........................................................98 Spécification des contrôleurs de domaine pour les configurations utilisateur.........98 Pour spécifier un contrôleur de domaine pour une configuration utilisateur existante.........................................................99 Création d'une configuration utilisateur : l'assistant de configuration utilisateur........100 Pour créer une configuration utilisateur.....................................100 Nom de la configuration utilisateur.........................................101 Sélection de l'édition du produit...........................................101 Définition du contrôleur de domaine........................................102 Choix d'applications.....................................................102 Configuration de l'interaction de l'agent....................................104 Paramètres avancés...................................................106 Configuration du système de licences.......................................111 Sélection des méthodes de protection des données.............................113 Sélection de la protection secondaire des données.............................116 Activer les fonctions autonomes de compte..................................117 Emplacement des modules du service.......................................117 Fin de l'assistant de configuration utilisateur.................................117 Synchronisation des informations d'identification à l'aide de la fonction Association de comptes..............................................................118

Table des matières 7 Workflow de la configuration de la fonction Association de comptes...........118 Choix et configuration d'un domaine pour l'hébergement du module de synchronisation des informations d'identification................................119 Configuration de la fonction Association de comptes dans l'agent................122 Pour configurer la fonction Association de comptes dans l'agent..............122 Réinitialisation et suppression des données utilisateur............................123 Réinitialisation des données utilisateur......................................124 Pour réinitialiser les données utilisateur..................................124 Suppression des données utilisateur du magasin central........................125 Pour supprimer les données utilisateur...................................126 Invite des utilisateurs à réenregistrer leurs questions de sécurité.....................126 Pour inviter les utilisateurs à se réenregistrer.................................127 Affectation d'une priorité aux configurations utilisateur...........................127 Pour définir une stratégie de configuration utilisateur..........................128 Affectation d'une configuration utilisateur à différents utilisateurs...................128 Pour copier une configuration utilisateur....................................128 Pour déplacer une configuration utilisateur vers différents utilisateurs.............129 Mise à niveau des configurations utilisateur existantes............................129 5 Authentification des utilisateurs et vérification d'identité........................... 131 Présentation de l'authentification Password Manager.............................131 Confirmation de l'identité des utilisateurs......................................132 Présentation des méthodes de vérification d'identité..............................133 Mot de passe précédent..................................................133 Questions de sécurité....................................................134 Contournement de la vérification d'identité..................................134 Permutation entre plusieurs méthodes d'authentification principale..................135 6 Gestion de l'authentification avec questions..................................... 137 Confirmation de l'identité d'un utilisateur à l'aide de l'authentification avec questions...137 Notions importantes.....................................................139 Étapes de l'authentification avec questions......................................139 Conception des questions de sécurité : compromis entre maintien de la sécurité et simplicité d'utilisation..............................................................141 Notions importantes liées aux questions de sécurité............................142 Gestion de vos questions....................................................142 Configuration d'une langue par défaut......................................142 Pour configurer une langue par défaut....................................142 Création de questions de sécurité..........................................143

8Guide de l'administrateur Citrix Password Manager Pour créer de nouvelles questions de sécurité..............................143 Ajout ou modification du texte de questions existantes (y compris les traductions)...144 Pour ajouter ou modifier le texte de questions existantes....................144 Création de groupes de questions de sécurité.................................146 Pour créer un groupe de questions de sécurité..............................146 Pour modifier un groupe de questions de sécurité...........................147 Création et utilisation du questionnaire......................................147 Avant de commencer.................................................148 Pour ajouter, supprimer ou réorganiser les questions de sécurité du questionnaire.148 Sélection de questions pour la récupération de clé.............................149 Pour sélectionner une ou plusieurs questions pour la récupération de clé........149 Activation du masquage des réponses de sécurité.............................150 Pour activer le masquage des réponses de sécurité..........................151 Rétrocompatibilité avec Password Manager versions 4.0 et 4.1.....................151 Pour activer la rétrocompatibilité de votre questionnaire........................152 Pour vérifier la rétrocompatibilité..........................................152 Activation du réenregistrement des réponses aux questions de sécurité...............153 7 Autorisation des utilisateurs à gérer leurs informations d'identification principales avec les fonctions autonomes de compte................................. 155 Présentation des fonctions autonomes.........................................155 Notions importantes.....................................................156 Utilisation de la gestion automatique de clés avec les fonctions autonomes.........157 Résumé des tâches d'implémentation des fonctions autonomes.....................157 Oubli des questions de sécurité par l'utilisateur..................................158 Pour réinitialiser l'enregistrement des utilisateurs dans les fonctions autonomes.....158 Expérience pour l'utilisateur.................................................158 8 Automatisation de la saisie des informations d'identification à l'aide de l'habilitation... 159 Récapitulatif des tâches d'habilitation..........................................160 Génération d'un modèle d'habilitation..........................................161 Pour générer un modèle d'habilitation.......................................161 Modification du modèle d'habilitation.........................................162 La balise <cpm-provision>...............................................162 Exemple de fichier généré................................................163 La balise <user>........................................................164 La commande <add>....................................................164 La commande <modify>.................................................166 La commande <delete>..................................................167

Table des matières 9 La commande <remove>.................................................168 La commande <reset>...................................................168 La commande <list-credentials>...........................................169 Informations d'identification de l'habilitation....................................170 Pour traiter votre modèle d'habilitation......................................170 Réglage manuel du traitement de l'habilitation..................................171 Kit de développement logiciel (SDK) de l'habilitation............................172 9 Le Bureau dynamique : un environnement de bureau partagé destiné aux utilisateurs.................................................................. 173 Récapitulatif des tâches du Bureau dynamique..................................174 Processus de démarrage et de fermeture du Bureau dynamique.....................175 Résolution des problèmes de démarrage utilisateur du Bureau dynamique..........176 Création d'un compte partagé de Bureau dynamique..............................177 Instructions sur la création du compte partagé de Bureau dynamique..............177 Organisation des utilisateurs du Bureau dynamique............................178 Restrictions des droits des utilisateurs.......................................179 Bureau dynamique, cartes à puce et récupération de clé........................179 Conditions requises pour les applications utilisées dans le Bureau dynamique.........179 Définition du comportement des applications pour les utilisateurs du Bureau dynamique 181 Avant de commencer....................................................181 Fichier Session.xml.....................................................183 Lancement d'applications à l'aide de Session.xml.............................183 Balises du fichier Session.xml.............................................184 </startup_scripts>....................................................184 <shutdown_scripts>..................................................184 Exemple : lancement d'internet Explorer..................................185 Exemple : nettoyage d'une session à l'aide d'un script.......................186 Fichier process.xml..................................................186 Balises du fichier process.xml..........................................187 <persistent_processes>................................................187 <transient_processes>................................................188 <shellexecute_processes>.............................................188 Paramètres de configuration utilisateur du Bureau dynamique......................189 Localisation des paramètres du Bureau dynamique dans une configuration utilisateur 189 Pour paramétrer l'emplacement du fichier session.xml.........................190 Spécification des options de délai d'expiration de session du Bureau dynamique.....190 Activation de l'indicateur de session Bureau dynamique........................191 Utilisation d'un graphique bitmap personnalisé comme indicateur de session.......191 Utilisation de l économiseur d'écran du Bureau dynamique.....................192

10Guide de l'administrateur Citrix Password Manager Installation du Bureau dynamique............................................192 Désactivation des services Terminal Server pour une installation administrative ou non assistée du Bureau dynamique......................................193 Pour installer le Bureau dynamique (installation d'un nouvel Agent)..............193 Pour installer le Bureau dynamique (installation existante de l'agent).............193 Désinstallation du Bureau dynamique.........................................194 Pour désinstaller le Bureau dynamique......................................194 Restauration des services Terminal Server après désinstallation du Bureau dynamique............................................................195 Pour activer les services Terminal Server après désinstallation du Bureau dynamique...............................................................196 Activation des sessions multiples après désinstallation du Bureau dynamique.......196 Pour activer des sessions multiples......................................196 Interaction avec les autres produits Citrix......................................197 Citrix XenApp Plugin...................................................197 Interface Web de Citrix..................................................198 Affichage des profils utilisateur du Bureau dynamique............................198 Pour afficher les profils du Bureau dynamique................................198 Fermeture d'une station de travail du Bureau dynamique..........................198 Absence de prise en charge de la fonction AutoAdminLogon......................199 Modification du mot de passe du compte partagé de Bureau dynamique..............200 Pour modifier le mot de passe du compte partagé de Bureau dynamique...........200 Informations du Bureau dynamique sur le Web..................................200 10 Opérations.................................................................. 203 Journalisation des événements Password Manager...............................203 Activation de la journalisation d'événements.................................205 Fichier Mfrmlist.ini........................................................205 L'Agent Password Manager ne soumet pas les informations d'identification...........205 Applications Web......................................................206 Pour vérifier que l'option de recherche d'url stricte est utilisée correctement....206 Applications d'émulateur de terminal.......................................207 Prise en charge des émulateurs de terminal.....................................208 Configuration de la prise en charge HLLAPI pour les émulateurs testés...........209 Pour configurer la prise en charge d'un émulateur..........................209 L'Agent Password Manager ne démarre pas....................................210 Mises à niveau logicielles et chaîne GINA...................................210 Étapes de réinstallation recommandées...................................210 Création d'un certificat de signature...........................................211 Signature, retrait de signature, renouvellement de signature et vérification des données..212

Table des matières 11 Pour démarrer l'outil de signature des données................................212 Signature des données (-s)................................................212 Renouvellement de signature des données (-r)................................213 Pour renouveler la signature de données altérées...........................214 Retrait de la signature des données (-u).....................................215 Vérification des données (-v).............................................215 Affichage de l'aide (-h)..................................................216 Activation et désactivation du service d'intégrité des données dans l'agent Password Manager........................................................217 Élimination d'objets supprimés du magasin central...............................217 Déplacement des données vers un autre magasin central..........................217 Migration de données vers un nouveau magasin central........................218 Pour exporter les informations d'administration............................219 Pour importer des informations d'administration...........................219 Pour rediriger les utilisateurs vers le nouveau magasin central...................220 Exportation des définitions d'application....................................221 Pour exporter une seule définition d'application............................221 Pour exporter des définitions d'applications multiples.......................221 Sauvegarde des fichiers importants...........................................222 Sauvegarde des fichiers du service Password Manager.........................222 Pour sauvegarder le service............................................222 Pour restaurer le service...............................................223 11 Citrix Password Manager 4.6 avec Service Pack 1 - Référence des paramètres........ 225 Configurations utilisateur...................................................225 Interaction de base de l'agent..............................................225 Autoriser les utilisateurs à révéler tous les mots de passe dans le Gestionnaire d'informations d'identification.....................................226 Forcer la re-authentification avant de révéler les mots de passe utilisateur.......226 Autoriser les utilisateurs à placer l'agent en pause..........................226 Informer l'utilisateur lorsque la synchronisation de l'agent échoue.............226 Détecter automatiquement les applications et proposer le stockage des informations d'identification............................................................226 Traiter automatiquement les formulaires définis lorsque l'agent les détecte......227 Durée séparant les requêtes de nouvelle authentification de l'agent............227 Interface utilisateur de l'agent.............................................227 Afficher le nom de l'ordinateur dans la bulle d'aide de l'icône de notification.....227 Afficher l'icône de notification..........................................227 Pause de l'agent avant soumission des informations d'identification............228

12Guide de l'administrateur Citrix Password Manager Définir les colonnes par défaut et leur ordre dans le Gestionnaire d'informations d'identification............................................................228 Interaction côté client....................................................228 Effectuer une vérification de mot de passe lors de la définition initiale des informations d'identification.................................................229 Journaliser les événements (Observateur d'événements Windows).............229 Supprimer le dossier de données et les clés de registre à l'arrêt de l'agent.......229 Autoriser les utilisateurs à annuler le stockage des informations d'identification lorsqu'une nouvelle application est détectée........................229 Limiter le nombre de jours de suivi des informations d identification supprimées.229 Synchronisation........................................................230 Autoriser les utilisateurs à actualiser les réglages de l'agent..................230 Synchroniser à chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur........................230 Permettre à l'agent de fonctionner même s'il ne peut pas se reconnecter au magasin central...........................................................230 Durée entre les requêtes de synchronisation automatique.....................230 Permettre l'accès aux informations d'identification par le module de synchronisation des informations d'identification..............................................231 Association de comptes..................................................231 Permettre aux utilisateurs d'associer des comptes...........................231 Fournir une adresse du service par défaut.................................231 Permettre aux utilisateurs de modifier l'adresse du service....................232 Fournir le domaine par défaut..........................................232 Permettre aux utilisateurs de modifier le domaine..........................232 Permettre aux utilisateurs de garder le mot de passe en mémoire..............232 Prise en charge d'application..............................................232 Détecter les définitions d'application sur le client...........................232 Activer la prise en charge des émulateurs de terminal.......................233 Fréquence de surveillance par l'agent des modifications dans l'émulateur.......233 Nombre de niveaux de nom de domaine de correspondance..................233 Bureau dynamique......................................................234 Chemin d'accès du fichier de paramètres de scripts de session.................234 Délai d'expiration du verrouillage.......................................234 Délai d'expiration de session...........................................234 Activer l'indicateur de session..........................................235 Activer le graphique..................................................235 Système de licences.....................................................235 Nom du serveur de licences............................................235 Utiliser la valeur par défaut (pour le numéro de port du serveur de licences).....235 Licences Utilisateur désigné (Édition Enterprise et Advanced uniquement)......236

Table des matières 13 Licences Utilisateurs simultanés (éditions Enterprise et Platinum uniquement)...236 Autoriser l'utilisation de la licence en mode déconnecté......................236 Continuer sans valider les informations de licence..........................236 Méthodes de protection des données........................................237 Devez-vous réglementer l'accès des administrateurs de comptes aux données utilisateur?..............................................................237 Pour améliorer le processus d'ouverture de session pour les utilisateurs, veuillez sélectionner toutes les méthodes de protection des données qui s'appliquent....237 Données d'authentification des utilisateurs................................237 Permettre le code secret de carte à puce..................................238 Autoriser la protection des données à l'aide d'un mot de passe vide.............238 API de protection des données de Microsoft...............................238 Certificat de carte à puce..............................................238 Utiliser la même protection des données qu'avec Password Manager 4.1 et versions précédentes..............................................................239 Protection secondaire des données.........................................239 Demande de vérification d'identité des utilisateurs..........................239 Saisie du mot de passe précédent........................................239 Sélection d'une méthode : mot de passe précédent ou questions de sécurité......240 Aucune invite aux utilisateurs ; restauration automatique de la protection principale des données sur le réseau...................................................240 Fonctions autonomes de compte...........................................240 Autoriser les utilisateurs à réinitialiser leur mot de passe de domaine principal...240 Autoriser les utilisateurs à déverrouiller leur compte de domaine..............240 Module de gestion des clés...............................................241 Emplacement de service (Module de gestion des clés).......................241 Module d'habilitation....................................................241 Exécuter l'habilitation.................................................241 Emplacement de service (Module d'habilitation)...........................241 Définitions d'application....................................................241 Formulaires d'application................................................242 L'Agent soumet ce formulaire automatiquement...........................242 Icône d'application......................................................242 Icône de l'application.................................................242 Détection avancée......................................................243 Ne traiter que la première ouverture de session pour cette application..........243 Ne traiter que la première modification de mot de passe pour cette application...243 Expiration du mot de passe...............................................243 Exécuter le script à l'expiration du mot de passe............................243 Utiliser la notification d'expiration de Citrix Password Manager...............243 Stratégies de mot de passe..................................................244

14Guide de l'administrateur Citrix Password Manager Règles de mot de passe de base............................................244 Longueur de mot de passe minimale.....................................244 Longueur de mot de passe maximale.....................................244 Nombre de répétitions possibles d'un caractère.............................244 Nombre de répétitions successives possibles d'un caractère...................244 Règles des caractères alphabétiques........................................244 Autoriser les minuscules..............................................245 Le mot de passe peut débuter avec une minuscule..........................245 Le mot de passe peut se terminer par une minuscule.........................245 Nombre minimum de minuscules requis..................................245 Autoriser les majuscules...............................................245 Le mot de passe peut débuter avec une majuscule...........................245 Le mot de passe peut se terminer avec une majuscule........................245 Nombre minimum de majuscules requis..................................245 Règles de caractère numérique............................................245 Autoriser les caractères numériques.....................................246 Le mot de passe peut débuter avec un caractère numérique...................246 Le mot de passe peut se terminer par un caractère numérique.................246 Nombre minimum de caractères numériques requis.........................246 Nombre maximum de caractères numériques autorisé.......................246 Règles des caractères spéciaux............................................246 Autoriser les caractères spéciaux........................................246 Le mot de passe peut débuter avec un caractère spécial......................247 Le mot de passe peut se terminer par un caractère spécial....................247 Nombre minimum de caractères spéciaux requis...........................247 Nombre maximum de caractères spéciaux autorisé.........................247 Liste de caractères spéciaux autorisés....................................247 Règles d'exclusion......................................................247 Exclure des mots de passe les caractères ou groupes de caractères de cette liste..247 Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe.......248 Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe....................................................................248 Nombre de caractères des portions......................................248 Ne pas autoriser le nom d'utilisateur Windows dans le mot de passe............248 Ne pas autoriser certaines parties du nom d'utilisateur Windows dans le mot de passe............................................................249 Nombre de caractères des portions......................................249 Historique et expiration des mots de passe...................................249 Le nouveau mot de passe doit être différent du précédent....................249 Nombre de mots de passe précédents retenus..............................249

Table des matières 15 Utiliser les paramètres d'expiration de mot de passe associés aux définitions d'application..............................................................250 Délai d'expiration du mot de passe (jours).................................250 Nombre de jours pour la notification avant expiration du mot de passe..........250 Test de la stratégie de mot de passe.........................................250 Tester la conformité d'un mot de passe créé manuellement...................250 Générer un mot de passe aléatoire conforme à la stratégie....................250 Générer et tester des mots de passe uniques conformes à la stratégie...........251 Préférences d'authentification.............................................251 Autoriser l'utilisateur à révéler le mot de passe pour les applications...........251 Obliger l'utilisateur à s'authentifier à nouveau avant de soumettre les informations d'identification pour une application...........................................252 Nombre de nouvelles tentatives d'ouverture de session......................252 Délai limite pour les tentatives..........................................252 Assistant de modification de mot de passe...................................252 Généré par le système ou créé par les utilisateurs eux-mêmes.................253 Utilisateurs uniquement autorisés à créer leur propre mot de passe.............253 Utilisateurs uniquement autorisés à choisir un mot de passe généré par le système 253 Générer un mot de passe et le soumettre à l'application sans afficher l'assistant de modification de mot de passe..............................................253 12 Extensions des définitions d'application......................................... 255 Opérations de l'agent......................................................255 Extensions d'identification................................................256 Définition des extensions d'identification....................................257 Pour définir une extension d'identification :...............................257 Extensions d'actions.....................................................259 Définition d'extensions d'actions........................................260 Exigences de l'implémenteur..............................................263 Activation de la journalisation.............................................263 13 Codes clavier virtuel pour les applications d'émulateur de terminal et les applications Windows......................................................... 265 Codes pour VTabKeyN (Windows)...........................................265 Codes pour VirtualKeyCode (Windows) et VKEY (Windows).....................266 Code clavier virtuel pour les émulateurs de terminal HLLAPI......................267

16Guide de l'administrateur Citrix Password Manager

1 Bienvenue A l'aide de l'authentification unique, Citrix Password Manager offre un accès sûr et protégé par mot de passe aux applications d'émulateur de terminal, Windows et Web exécutées dans un environnement Citrix ou sur le bureau. Les utilisateurs s'authentifient une fois, puis Password Manager ouvre automatiquement des sessions dans les systèmes protégés par mot de passe, applique les stratégies de mot de passe, surveille tous les événements associés aux mots de passe et peut même automatiser certaines tâches de l'utilisateur, telles que la modification des mots de passe. Composants de Password Manager Les principaux composants de Password Manager sont : Magasin central Console Password Manager Agent Password Manager Service Password Manager (facultatif) Magasin central Le magasin central est un stockage centralisé permettant à Password Manager de stocker et de gérer les données utilisateur et d'administration. Les données utilisateur comprennent notamment les informations d'identification, les réponses aux questions de sécurité et d'autres données relatives à l'utilisateur. Les données d'administration incluent les stratégies de mot de passe, les définitions d'application, les questions de sécurité et d'autres données de portée plus large. Lorsqu'un utilisateur ouvre une session, Password Manager compare ses informations d'identification à celles stockées dans le magasin central. Lorsque l'utilisateur ouvre des applications ou des pages Web protégées par mot de passe, les informations d'identification adéquates sont extraites du magasin central.

18 Guide de l'administrateur Citrix Password Manager Console Password Manager La Console Password Manager est le centre de commande de Password Manager. Elle vous permet de gérer l'expérience Password Manager des utilisateurs. Vous pouvez y configurer la façon dont fonctionne Password Manager, les fonctions à déployer, les mesures de sécurité qui seront utilisées et d'autres paramètres importants liés aux mots de passe. La Console contient quatre éléments principaux, ou nœuds, dans le panneau de gauche. Lorsque vous sélectionnez un nœud, ses tâches spécifiques apparaissent. Ces nœuds sont les suivants. Configurations utilisateur Ces configurations permettent d'ajuster certaines paramètres aux utilisateurs en fonction de leur emplacement géographique ou de leur rôle dans l'entreprise. Les paramètres des trois autres nœuds vous permettent de créer des configurations utilisateur. Définitions d'application Ces définitions offrent les informations nécessaires à l'agent pour l'authentification auprès des applications et pour la détection des erreurs. Vous pouvez utiliser les modèles de définition d'application fournis avec Password Manager pour accélérer le processus ou créer vos définitions personnalisées pour les applications qui ne peuvent pas utiliser ces modèles. Les modèles supplémentaires se trouvent à l'emplacement suivant : http://www.citrix.com/passwordmanager/gettingstarted Stratégies de mot de passe Les stratégies de mot de passe contrôlent la longueur des mots de passe, le type et la variété des caractères des mots de passe définis par l'utilisateur et générés automatiquement. Elles vous permettent aussi de spécifier les caractères à exclure dans les mots de passe et la réutilisation des mots de passe précédents. La création de stratégies de mot de passe cohérentes avec les stratégies de sécurité de votre entreprise garantit une bonne gestion de la sécurité des mots de passe par Password Manager. Vérification d'identité Les questions de sécurité créées offre une couche de sécurité supplémentaire à l'agent en protégeant contre l'usurpation d'identité, les modifications de mot de passe et les déverrouillages de compte non autorisés. Les utilisateurs qui s'inscrivent et qui répondent à vos questions de sécurité peuvent ensuite vérifier leur identité en fournissant les mêmes réponses aux questions. Une fois la vérification effectuée, les utilisateurs peuvent accomplir les tâches des fonctions autonomes sur leur compte,

1 Bienvenue 19 comme la réinitialisation de leur mot de passe principal ou le déverrouillage de leur compte utilisateur. Les questions de sécurité peuvent également servir à la récupération de clés. Agent Password Manager L'Agent Password Manager soumet les informations d'identification appropriées aux applications exécutées sur la machine cliente de l'utilisateur, applique les stratégies de mot de passe, fournit la fonctionnalité des fonctions autonomes et permet aux utilisateurs de gérer leurs informations d'identification avec le Gestionnaire d'informations d'identification. En outre, l'agent Password Manager offre aux utilisateurs une grande variété de fonctions. Les fonctions dont disposent les utilisateurs dépendent des paramètres d'administration définis dans les configurations utilisateur. Les fonctions de l'agent Password Manager sont notamment : Icône dans la barre d'état système de Windows L'icône de Password Manager située dans la barre d'état système de Windows permet d'accéder au Gestionnaire d'informations d'identification et à d'autres fonctionnalités de Password Manager, notamment l'enregistrement des questions de sécurité, la mise en pause et l'aide en ligne. Gestionnaire d'informations d identification. Le Gestionnaire d'informations d'identification offre une interface utilisateur permettant de créer, afficher, modifier et supprimer les informations d'identification. Les utilisateurs peuvent également y enregistrer leurs questions de sécurité et accéder à l'aide en ligne. Le menu Fichier permet d'accéder à de nombreuses fonctionnalités : Nouvelles informations d'identification permet d'ajouter de nouvelles informations d'identification pour les applications Windows, Web ou émulateur de terminal à Password Manager. Copier fournit une copie des informations d'identification sélectionnées, que l'utilisateur peut modifier pour créer différents ensembles d'informations d'identification pour différentes applications. Supprimer efface les informations d'identification de l'utilisateur pour l'application sélectionnée à partir du Gestionnaire d'informations d'identification. Propriétés permet d'accéder aux propriétés associées aux informations d'identification de l'application spécifiée. L'utilisateur

20 Guide de l'administrateur Citrix Password Manager peut alors modifier son mot de passe, son ID utilisateur et d'autres informations d'identification. Les autres commandes accessibles par les utilisateurs sont notamment : Révéler les mots de passe, disponible depuis le menu Affichage, permet à l'utilisateur d'afficher les mots de passe des applications figurant dans le Gestionnaire d'informations d'identification. Remarque : les paramètres de stratégie de mot de passe relatifs à l'affichage des mots de passe ont priorité sur cette commande. Si vous ne souhaitez pas que les utilisateurs révèlent le mot de passe d'une application, définissez une stratégie à cette fin. Enregistrement des questions de sécurité, disponible dans le menu Outils, permet à l'utilisateur de redémarrer l'assistant d'enregistrement des questions de sécurité et de fournir de nouvelles réponses aux questions de sécurité. Association de comptes, dans le menu Outils, permet à l'utilisateur de créer une association entre des comptes dans différents domaines. Cette fonctionnalité permet de synchroniser les informations d'identification. Les modifications de mot de passe sont répercutées sur les différents domaines. Configuration de nouvelle ouverture de session automatisée Les utilisateurs peuvent configurer rapidement de nouvelles informations d'identification à l'aide de cet assistant. Password Manager détecte la demande d'informations d'identification par une application ou un site Web. Si les informations d'identification de l'utilisateur ne sont pas déjà stockées dans Password Manager, l'assistant Nouvelles informations d'identification s'affiche automatiquement et propose leur enregistrement. Mobilité de l'utilisateur Password Manager prend en charge les utilisateurs à distants et mobiles. En se procurant une licence avant de se déconnecter, les utilisateurs distants peuvent accéder à leurs informations d'identification, qu'ils soient ou non déconnectés du réseau de l'entreprise. Les utilisateurs itinérants peuvent se déplacer d'un ordinateur à un autre et plusieurs utilisateurs peuvent partager une même station de travail en toute sécurité.