Démarrage Rapide — Configurer Single Sign-On (SSO) avec Active Directory

Lorsque vous utilisez la solution Single Sign-On (SSO) d'Active Directory de WatchGuard, les utilisateurs des réseaux facultatifs ou approuvés renseignent leurs informations d'identification une seule fois (lorsqu'ils se connectent à leur ordinateur) et sont automatiquement authentifiés sur votre Firebox. Cet article résume comment configurer le Single Sign-On de WatchGuard au moyen des trois composants les plus utilisés de la solution SSO de WatchGuard :

  • SSO Agent — Vous devez installer SSO Agent sur votre réseau pour collecter les informations de connexion des utilisateurs et envoyer ces informations au Firebox. SSO Agent peut collecter les informations de connexion des utilisateurs auprès de SSO Client, Event Log Monitor et Exchange Monitor.
  • SSO Client — Vous pouvez installer SSO Client sur les ordinateurs Windows et macOS de votre réseau. SSO Client fonctionne en arrière-plan et collecte les informations d'identification des utilisateurs, les informations de domaine et les informations sur les groupes pour les envoyer à SSO Agent.
  • Event Log Monitor (ELM) — Vous pouvez installer Event Log Monitor sur un serveur de chaque domaine de réseau afin de collecter les informations de connexion des utilisateurs à partir des fichiers journaux d'événements de sécurité Windows pour les ordinateurs Windows qui n'ont pas SSO Client installé.

Il n'est pas nécessaire que les versions des composants SSO correspondent entre elles ou avec la version du système d'exploitation Fireware OS de votre Firebox. Nous vous recommandons d'installer la dernière version disponible de SSO Agent, même si votre Firebox fonctionne avec une version plus ancienne du système d'exploitation Fireware OS.

Pour une description complète de tous les composants SSO de WatchGuard, les options de configuration et les fonctionnalités, consultez Comment fonctionne Active Directory SSO ?.

La procédure de démarrage rapide se concentre sur le déploiement de composants SSO pour le SSO à partir d'ordinateurs utilisant SSO Client. Elle décrit également comment configurer Event Log Monitor comme méthode secondaire pour activer le SSO sur des ordinateurs Windows sur lesquels SSO Client n'est pas installé. Même si vous installez Event Log Monitor, nous vous recommandons d'installer SSO Client sur tous les ordinateurs Windows pour un déploiement SSO des plus fiables.

Avant de configurer le SSO pour votre réseau, vérifiez que votre configuration réseau répond à toutes les exigences.

Active Directory

  • Un serveur Active Directory doit être configuré sur votre réseau local.
  • Le Firebox doit être configuré de façon à utiliser l'authentification Active Directory.
  • Chaque utilisateur doit disposer d'un compte d'utilisateur sur le serveur Active Directory.
  • Chaque utilisateur doit se connecter avec un compte utilisateur de domaine pour que le SSO fonctionne correctement. Si les utilisateurs se connectent à un compte qui n'existe que sur leur ordinateur local, les informations d'identification ne sont pas vérifiées et le Firebox ne reconnaît pas que ces utilisateurs sont connectés.
  • SSO Agent et Event Log Monitor doivent s'éxécuter en tant que compte d'utilisateur membre du groupe de sécurité Utilisateurs du Domaine. Astuce !
    Le compte Utilisateurs du Domaine que vous sélectionnez doit posséder les permissions nécessaires pour exécuter les services sur le serveur Active Directory, effectuer des recherches dans l'annuaire et rechercher toutes les autres informations d'audit des utilisateurs. Pour configurer correctement les autorisations et les paramètres, consultez Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor. Nous recommandons que vous ne sélectionnez pas un compte dans le groupe de sécurité Admin du domaine.
  • Tous les ordinateurs à partir desquels les utilisateurs s'authentifient à l'aide de SSO doivent être membres du domaine Active Directory avec des relations d'approbation ininterrompues.
  • Les ordinateurs macOS doivent joindre le domaine Active Directory avant que le SSO Client ne soit installé.
  • Exchange Monitor doit s'éxécuter en tant que compte d'utilisateur dans le groupe de sécurité Admins du Domaine.

Ports

  • Le port TCP 445 (port pour SMB) doit être ouvert sur les ordinateurs clients.
  • Le port TCP 4116 doit être ouvert sur les ordinateurs clients sur lesquels vous installez SSO Client.
  • Le port TCP 4114 doit être ouvert sur le serveur sur lequel vous installez SSO Agent.
  • Le port TCP 4135 doit être ouvert sur le serveur sur lequel vous installez Event Log Monitor.
  • Le port TCP 4136 doit être ouvert sur le serveur sur lequel vous installez Exchange Monitor.

Pour tester si ces ports sont ouverts, vous pouvez utiliser l'outil Testeur de Port SSO. Pour davantage d'informations, consultez Dépanner SSO.

Journaux des Évènements

  • Pour qu'Event Log Monitor fonctionne correctement, vous devez activer la journalisation d'audit sur tous les ordinateurs de domaine Windows pour les événements de connexion et de connexion au compte 4624 et 4634.
  • Si votre réseau Windows est configuré pour un Basculement Rapide d'Utilisateur, vous devez :
    • Activer la journalisation d'audit sur tous les ordinateurs du domaine Windows pour les événements 4647, 4778, and 4779.
      Ceci permet à Event Log Monitor de fonctionner correctement.
    • Installer Event Log Monitor v11.10 ou une version ultérieure.
      Le programme d'installation du service WatchGuard Authentication Gateway comprend l'option d'installer Event Log Monitor.
  • Pour l'utilisation de Clientless SSO par les utilisateurs de Remote Desktop Protocol (RDP) :
    • Event Log Monitor v11.10 ou une version ultérieure doit être installé.
    • Les événements Microsoft 4624 et 4634 doivent être générés sur les ordinateurs clients et contenir des attributs de Type de Connexion. Ces attributs indiquent si un événement de connexion ou de déconnexion a eu lieu sur le réseau local ou par le biais d'un RDP. Les attributs 2 et 11 spécifient les événements de connexion et de déconnexion locaux et l'attribut 10 spécifie un événement de connexion ou de déconnexion RDP.

Exigences pour Microsoft .NET

  • Pour la version v12.3 ou une version ultérieure de SSO Agent, Microsoft .NET Framework v4.0 ou une version ultérieure doit être installé sur le serveur sur lequel vous installez SSO Agent.
  • Pour les versions de SSO Agent antérieures à v12.3, Microsoft .NET Framework v2.0-4.5 doit être installé sur le serveur sur lequel vous installez SSO Agent.
  • Pour Microsoft Exchange Server 2010 et les versions antérieures, Microsoft .NET Framework v2.0 ou une version ultérieure doit être installé sur le serveur sur lequel vous installez Exchange Monitor.
  • Pour Windows Server 2012 et les versions ultérieures, et Microsoft Exchange Server 2013 et ultérieur, Microsoft .NET Framework 3.5 ou ultérieur doit être installé sur le serveur sur lequel vous installez Exchange Monitor.

Vous devez installer SSO Agent de WatchGuard. Le composant Event Log Monitor est facultatif mais recommandé comme méthode de secours pour collecter les informations de connexion des utilisateurs comme avec SSO Agent. Pour minimiser les risques de problèmes de connectivité entre les composants SSO, nous vous recommandons d'installer SSO Agent et Event Log Monitor sur le contrôleur de domaine Active Directory. Vous pouvez les installer sur n'importe quel serveur de votre domaine de réseau.

Fireware v12.2 et les versions ultérieures prennent en charge jusqu'à quatre SSO Agent à des fins de redondance. Dans cet exemple de Démarrage Rapide, nous installons un seul SSO Agent.

Pour installer SSO Agent et Event Log Monitor :

  1. Téléchargez le logiciel WatchGuard Single Sign-On Agent depuis la page des Téléchargements de Logiciels de votre Firebox dans le Centre de Téléchargement de Logiciels WatchGuard.
    Le logiciel que vous téléchargez, le programme d'installation de Passerelle d'Authentification WatchGuard, comprend les composants Single Sign-On Agent et Event Log Monitor.
  2. Lancez le programme d'installation de Passerelle d'Authentification WatchGuard sur le contrôleur de domaine AD.
  3. Cochez les cases pour installer les composants Single Sign-On Agent et Event Log Monitor.
  4. Spécifiez les informations d'identification d'utilisateur de domaine qu'utilisera le service de Passerelle d'Authentification WatchGuard. Le compte doit être appartenir au groupe de sécurité Utilisateurs du Domaine et posséder les permissions décrites à l'Étape 1 — Vérifier les Conditions Préalables de cette rubrique.

Une fois le programme d'installation terminé, vous pouvez voir deux nouveaux services démarrés sur votre serveur :

  • Passerelle d'Authentification WatchGuard (SSO Agent)
  • WatchGuard Authentication Event Log Monitor

Pour des informations plus précises sur les autres options d'installation, consultez Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor.

Dans l'Outil de Configuration SSO Agent, vous configurez :

  • Les paramètres de contacts de SSO Agent
  • Les domaines Active Directory pour SSO

Pour configurer les paramètres de contacts de SSO Agent :

  1. Dans les programmes du menu démarrer de Windows, sélectionnez WatchGuard > Passerelle d'Authentification > Outil de Configuration de WatchGuard SSO Agent.
  2. Connectez-vous avec les informations d'identification du compte administrateur par défaut de l'Outil de Configuration de SSO Agent :
    Nom d'utilisateuradmin
    Mot de Passereadwrite.
  3. Dans l'outil de configuration de SSO Agent, sélectionnez Modifier > Paramètres de Contacts de SSO Agent.
  4. À côté de SSO Client, cochez la case Activé pour permettre à SSO Agent de contacter SSO Client.
  5. Sélectionnez SSO Client dans la liste et cliquez sur Haut pour le déplacer en tête de liste.
  6. Assurez-vous qu'Event Log Monitor est activé en priorité 2.
  7. Dans la liste Domaines de Contact, précisez un ou plusieurs domaines qu'Event Log Monitor ou Exchange Monitor peuvent contacter pour obtenir les informations de connexion des utilisateurs. Le nom de domaine est soumis au respect de la casse. Précisez, pour chaque domaine, la ou les adresse(s) IP du serveur exécutant les composants ELM ou EM.

Ensuite, ajoutez un domaine avec les paramètres d'un compte d'utilisateur que SSO Agent peut utiliser pour chercher dans votre serveur Active Directory. Nous vous recommandons de créer sur votre serveur Active Directory un compte d'utilisateur spécifique ayant les droits d'effectuer des recherches dans l'annuaire et dont le mot de passe n'expire jamais.

À partir des Outils de Configuration de SSO Agent :

  1. Sélectionnez Modifier > Ajouter un domaine.
  2. Dans la zone de texte Nom de domaine, saisissez le nom du domaine.
    Le nom de domaine est soumis au respect de la casse. Veillez à saisir exactement le nom de domaine tel qu'il apparait sous l'onglet Active Directory dans les Paramètres du Serveur d'Authentification de votre Firebox.
    Vous pouvez taper, par exemple, mon-exemple.com.
  3. Dans la zone de texte Nom de Domaine NetBIOS, entrez le nom de domaine NetBIOS.
    Le nom de domaine NetBIOS est le paramètre Nom de Domaine (avant Windows 2000) situé dans les propriétés du domaine du serveur Active Directory.
  4. Dans la zone de texte Adresse IP du Contrôleur de Domaine, entrez l'adresse IP du serveur Active Directory de ce domaine.
    Si SSO Agent est installé sur le serveur Active Directory, vous pouvez utiliser l'adresse de bouclage 127.0.0.1.
  5. Dans la zone de texte Port, entrez le port à utiliser pour se connecter au serveur.
    Le numéro de port par défaut est 389.
  6. Dans la section Recherche d'Utilisateur, sélectionnez une option permettant de préciser le nom d'utilisateur.
  7. Dans la zone de texte de l'option choisie, saisissez les informations de l'utilisateur.
    Assurez-vous d'indiquer un utilisateur qui a les permissions nécessaires pour demander des informations d'audit et d'annuaire pour tout autre utilisateur d'Active Directory. Il peut s'agir du même utilisateur que vous avez choisi pour exécuter SSO Agent et Event Log Monitor, avec un mot de passe qui n'expire jamais.
  8. Saisissez et confirmez le mot de passe de l'utilisateur de recherche.
  9. Pour ajouter un autre domaine, cliquez sur OK & Ajouter un autre. Répétez les Étapes 1 à 8.

Pour plus d'informations sur les options de configuration de SSO Agent, consultez Configurer le SSO Agent d’Active Directory.

Le client Single Sign-On est facultatif mais recommandé pour une mise en œuvre du SSO des plus fiables. SSO Client fonctionne comme service système local sur chaque ordinateur d'utilisateur pour collecter les informations de connexion de l'utilisateur actuellement connecté sur cet ordinateur. Il ne demande aucune interaction de la part de l'utilisateur. Pour une mise en œuvre de SSO des plus fiables, WatchGuard recommande fortement d'utiliser SSO Client sur des ordinateurs capables de le prendre en charge.

Vous pouvez télécharger les SSO Client Windows et macOS à partir du Centre de Téléchargement des Logiciels WatchGuard.

  • Puisque le programme d'installation de SSO Client pour Windows est un fichier MSI, vous pouvez utiliser une Stratégie de Groupe Active Directory pour l'installer automatiquement lorsque des utilisateurs se connectent à votre domaine depuis un ordinateur Windows. Pour en savoir plus sur le déploiement des installations de logiciel pour les objets de stratégie de groupe Active Directory, voir la documentation de votre système d'exploitation.
  • Si votre Firebox est configuré avec plusieurs domaines Active Directory, vos utilisateurs doivent installer SSO Client.
  • Pour qu'un utilisateur macOS puisse utiliser SSO Client, son ordinateur doit avoir rejoint le serveur Active Directory.

Pour plus de détails sur l'installation de SSO Client, consultez Installer WatchGuard Active Directory SSO Client.

Une fois que tous les composants sont en place, vous pouvez activer Single Sign-On sur le Firebox.

Pour activer Single Sign-On, dans Fireware Web UI :

  1. Sélectionnez Authentification > Single Sign-On.
    La page Single Sign-On s'affiche.
  2. Activez la case à cocher Activer SSO (Single Sign-On) avec Active Directory.
  3. Dans la zone de texte Adresse IP de SSO Agent, saisissez l'adresse IP du serveur où vous avez installé SSO Agent.

Pour activer Single Sign-On, dans Policy Manager :

  1. Sélectionnez Configuration > Authentification > Paramètres d'authentification.
    La boîte de dialogue Paramètres d'authentification s'affiche.
  2. Sélectionnez l'onglet Single Sign-On.
  3. Activez la case à cocher Activer SSO (Single Sign-On) avec Active Directory.

Une fois que vous avez activé Single Sign-On, vous pouvez ajouter des exceptions SSO. Nous vous recommandons d'ajouter des exceptions SSO pour tous les périphériques réseau qui ne sont pas dans le domaine et sont susceptibles d'envoyer du trafic vers Internet. Cela comprend les périphériques réseau tels que :

  • Les serveurs réseau
  • Les serveurs d'impression
  • Les commutateurs et routeurs gérés
  • Les réseaux et ordinateurs qui ne font pas partie du domaine tels que les réseaux d'invités
  • Les utilisateurs de votre réseau interne qui doivent s'authentifier manuellement sur le Portail d'Authentification

Pour plus d'informations sur l'activation de SSO et la configuration des exceptions SSO, consultez Activer Active Directory SSO sur le Firebox.

SSO Exchange Monitor de WatchGuard est un composant facultatif que vous pouvez installer pour activer SSO sur des clients réseau utilisant Linux ou des périphériques mobiles utilisant iOS, Android ou Windows Mobile. Exchange Monitor est principalement utilisé pour l'authentification des clients mobiles, mais vous pouvez aussi l'utiliser comme connexion SSO de secours pour des ordinateurs qui ne sont pas partagés par plusieurs utilisateurs.

Pour plus d'informations, consultez Installer WatchGuard Active Directory SSO Exchange Monitor.

Pour dépanner SSO, consultez la liste des exigences et vérifiez que les serveurs de votre réseau et les composants SSO sont correctement configurés.

Voir Également

À propos de Active Directory Single Sign-On (SSO)

Comment fonctionne Active Directory SSO ?

Commencer avec le tutoriel vidéo Single Sign-On (9 minutes)

Exemples de Configurations Réseau d'Active Directory SSO

Dépanner Active Directory SSO