Il existe de nombreuses manières de configurer SSO sur votre réseau. Cette rubrique explique deux exemples de configuration SSO :
- Réseau avec un domaine unique
- Réseau avec deux domaines
Pour des instructions détaillées sur la configuration, consultez Démarrage Rapide — Configurer Single Sign-On (SSO) avec Active Directory. Pour une vidéo illustrant le processus de configuration, consultez le tutoriel vidéo Démarrer avec Single Sign-On (9 minutes).
Domaine unique
Dans cet exemple, vous configurez SSO pour un domaine unique et vous utilisez cette configuration :
- SSO Agent et Event Log Monitor sont installés sur le contrôleur de domaine
- Exchange Monitor est installé sur un Microsoft Exchange Server
- SSO Client est installé sur les ordinateurs de l'utilisateur sur votre réseau
- Les méthodes SSO principales et de secours sont spécifiées
Lorsqu'un utilisateur sur un ordinateur du réseau tente de se connecter à Internet :
- Le Firebox envoie une requête à SSO Agent.
- SSO Agent contacte le composant SSO que vous avez spécifié comme la méthode SSO principale.
- SSO Agent contacte les composants SSO que vous avez spécifiés comme méthodes SSO de secours.
- SSO Agent envoie une réponse au Firebox.
- Si l'authentification SSO réussit, l'utilisateur se connecte à Internet.
Ce diagramme explique comment cet exemple de configuration SSO fonctionne.
Par exemple, vous pouvez configurer SSO Agent pour qu'il contacte d'abord SSO Client pour obtenir les informations d'identification de l'utilisateur et les informations de groupe. Ce qui signifie que SSO Client est la méthode SSO principale. Vous pouvez configurer SSO Agent pour qu'il contacte Event Log Monitor et Exchange Monitor en deuxième et troisième, ce qui signifie que ces composants sont des méthodes SSO de secours.
Dans cet exemple, si SSO Client n'est pas disponible, SSO Agent contacte Event Log Monitor. Si l'ordinateur client est un Linux ou un périphérique mobile, SSO Agent contacte Exchange Monitor pour obtenir les informations de connexion et de déconnexion de l'utilisateur.
SSO Agent et Event Log Monitor ne doivent pas être nécessairement être installés sur le contrôleur de domaine. Vous pouvez installer SSO Agent et Event Log Monitor sur un autre ordinateur appartenant au même domaine, mais ils doivent tous les deux être exécutés avec un compte d'utilisateur appartenant au groupe de sécurité Utilisateurs du Domaine. Le compte Utilisateurs du Domaine que vous sélectionnez doit posséder les permissions nécessaires pour exécuter les services sur le serveur Active Directory, effectuer des recherches dans l'annuaire et rechercher toutes les autres informations d'audit des utilisateurs. Pour configurer correctement les autorisations et les paramètres, consultez Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor.
Dans Fireware v12.2 et les versions ultérieures, pour ajouter une redondance, vous pouvez spécifier jusqu'à quatre SSO Agent dans la configuration SSO du Firebox. Seul un SSO Agent est actif simultanément. Si l'agent actif devient indisponible, le basculement s'effectue vers le SSO Agent suivant spécifié dans la configuration du Firebox.
Deux Domaines
Dans cet exemple, vous configurez SSO pour deux domaines et vous utilisez cette configuration :
- SSO Agent est installé sur un seul contrôleur de domaine dans votre réseau
- SSO Client est installé sur chaque ordinateur client.
- Event Log Monitor est installé sur un serveur Windows membre dans chacun des domaines de votre réseau
- Exchange Monitor est installé sur votre propre Microsoft Exchange Server.
Domaine A
- Un utilisateur sur un ordinateur du réseau qui a rejoint le Domaine A tente de se connecter à Internet.
- Le Firebox envoie une requête à SSO Agent.
- SSO Agent contacte le composant SSO sur le Domaine A que vous avez spécifié comme étant la méthode SSO principale.
- Si l'Étape 3 échoue, SSO Agent contacte les composants SSO sur le Domaine A que vous avez spécifiés comme méthodes SSO de secours.
- SSO Agent envoie une réponse au Firebox.
- Si l'authentification SSO réussit, l'utilisateur peut se connecter à Internet.
Domaine B
- Un utilisateur sur un ordinateur du réseau qui a rejoint le Domaine B tente de se connecter à Internet.
- Le Firebox envoie une requête à SSO Agent.
- SSO Agent contacte le composant SSO sur le Domaine B que vous avez spécifié comme étant la méthode SSO principale.
- Si l'Étape 3 échoue, SSO Agent contacte les composants SSO sur le Domaine B que vous avez spécifiés comme méthodes SSO de secours.
- SSO Agent envoie une réponse au Firebox.
- Si l'authentification SSO réussit, l'utilisateur peut se connecter à Internet.
Ce diagramme explique comment cet exemple de configuration SSO fonctionne.
Par exemple, vous pouvez configurer SSO Agent pour qu'il contacte d'abord SSO Client pour obtenir les informations d'identification de l'utilisateur et les informations de groupe. Ce qui signifie que SSO Client est la méthode SSO principale. Vous pouvez configurer SSO Agent pour qu'il contacte Event Log Monitor et Exchange Monitor en deuxième et troisième, ce qui signifie que ces composants sont des méthodes SSO de secours.
Dans cet exemple, si SSO Client est indisponible, SSO Agent entre en contact avec Event Log Monitor qui est dans le même domaine que l'ordinateur client. Si l'ordinateur client est un Linux ou un périphérique mobile, SSO Agent contacte Exchange Monitor pour obtenir les informations de connexion et de déconnexion de l'utilisateur.
Dans Fireware v12.2 et les versions ultérieures, pour ajouter une redondance, vous pouvez spécifier jusqu'à quatre SSO Agent dans la configuration SSO du Firebox. Seul un SSO Agent est actif simultanément. Si l'agent actif devient indisponible, le basculement s'effectue vers le SSO Agent suivant spécifié dans la configuration du Firebox.
Voir Également
À propos de Active Directory Single Sign-On (SSO)
Comment fonctionne Active Directory SSO ?
Choisir les Composants de Votre Active Directory SSO
Démarrage Rapide — Configurer Single Sign-On (SSO) avec Active Directory