Démarrage Rapide — Configurer AuthPoint
Cette rubrique de démarrage rapide passe en revue les étapes générales pour configurer et tester l'authentification multifacteur (MFA) avec AuthPoint. Ce guide présente AuthPoint, passe en revue les composants de base d'AuthPoint et vous aide à tester la MFA avant de déployer complètement AuthPoint.
Si vous comprenez déjà la configuration de base d'AuthPoint et que vous êtes prêt à le déployer sur votre réseau, vous pouvez commencer par le Guide de Déploiement d'AuthPoint.
Si vous n'avez pas encore acheté de licence AuthPoint, vous pouvez commencer une version d'essai gratuite d'AuthPoint dans le Support Center. Pour commencer un essai, allez à la page Gestion des Produits et sélectionnez WatchGuard AuthPoint. Cliquez sur le lien Free 30 day trial pour activer votre essai gratuit. Vous pouvez également contacter votre WatchGuard Partner habituel et lui demander d'activer votre essai d'AuthPoint. Pour plus d'informations, consultez Activer une Licence d'Essai AuthPoint.
Avant de commencer, nous vous recommandons de vous familiariser avec les composants d'AuthPoint et certains des termes clés liés à AuthPoint :
AuthPoint a plusieurs composants :
- AuthPoint Management UI — L'AuthPoint management UI dans WatchGuard Cloud est l'endroit où vous configurez et gérez vos utilisateurs, groupes, ressources, stratégies d'authentification et identités externes, ainsi que l'AuthPoint Gateway.
- Application Mobile AuthPoint — L'application mobile AuthPoint est requise pour l'authentification. Vous pouvez afficher et gérer les jetons, approuver les notifications Push, obtenir des OTP et scanner des QR codes.
- AuthPoint Gateway — AuthPoint Gateway est un logiciel léger que vous installez sur votre réseau afin qu'AuthPoint puisse communiquer avec vos clients RADIUS et vos bases de données LDAP. La Gateway fonctionne comme un serveur RADIUS et est nécessaire pour l'authentification RADIUS et pour que les utilisateurs LDAP accèdent aux ressources SAML.
- Logon app — La Logon app est utilisée pour exiger une authentification lorsque les utilisateurs se connectent à un ordinateur ou à un serveur. Logon app comprend deux parties — L'application que vous installez sur un ordinateur ou un serveur et la ressource que vous configurez dans AuthPoint.
- Agent ADFS — Avec l'agent ADFS AuthPoint, vous pouvez ajouter l'authentification multifacteur (MFA) à Active Directory Federation Services (ADFS) pour une sécurité supplémentaire.
- Agent RD Web — Avec l'agent RD Web AuthPoint, vous pouvez ajouter la MFA à l'accès Remote Desktop Web Access.
- Stratégies d'Authentification — Les stratégies d'authentification spécifient les ressources sur lesquelles les utilisateurs d'AuthPoint peuvent s'authentifier ainsi que les méthodes d'authentification à leur disposition (Push, QR code et OTP).
- Objets de Stratégie — Les objets de stratégie sont les composants d'une stratégie configurables individuellement, tels que les Emplacements Réseau. Vous pouvez configurer les objets de stratégie avant de les ajouter aux stratégies d'authentification.
- Ressources — Les ressources sont les applications et les services auxquels vos utilisateurs se connectent. Dans AuthPoint, il existe sept types de ressources :
- Client RADIUS — Une application ou un service qui utilise l'authentification RADIUS (principalement des pare-feux et des réseaux privés VPN (Virtual Private Network)).
- SAML — Application ou service utilisant l'authentification SAML (Security Assertion Markup Language) tel qu'Office 365, Salesforce et l'Access Portal Firebox.
- Portail IdP — Une page de portail qui montre aux utilisateurs les ressources SAML à leur disposition.
- Logon app — La ressource Logon app est utilisée pour configurer et définir les stratégies d'authentification de la Logon app.
- ADFS — La ressource ADFS est utilisée pour ajouter la MFA à l'authentification ADFS.
- RD Web — La ressource RD Web est utilisée pour ajouter une MFA à l'accès Remote Desktop Web Access.
- RESTful API Client — La ressource RESTful API Client sert à configurer et définir les stratégies d'authentification d'un RESTful API client.
- Méthodes d'authentification
- Notification Push — Une notification Push est une notification envoyée à votre périphérique mobile lorsque vous essayez de vous connecter à une ressource. Vous devez approuver la notification Push pour vous connecter ou la refuser pour empêcher une tentative d'accès qui n'a pas été faite par vous.
- QR Code — Lorsque vous vous authentifiez avec un QR code, vous scannez le QR code sur l'écran avec l'application mobile AuthPoint et utilisez le code de vérification que vous recevez pour vous authentifier et vous connecter.
- One-Time Password (OTP) — Un OTP est un mot de passe temporaire à usage unique disponible dans l'application mobile AuthPoint. Pour vous connecter à une ressource avec OTP, vous devez saisir l'OTP affiché dans votre application mobile AuthPoint lors de l'authentification.
- Identités Externes — Les informations requises pour se connecter à vos bases de données Active Directory ou LDAP afin d'obtenir des informations sur les comptes d’utilisateurs et valider les mots de passe.
Connexion à l'AuthPoint Management UI
L'AuthPoint management UI est l'endroit où vous configurez et gérez vos utilisateurs, groupes, ressources et stratégies d'authentification AuthPoint. Vous accédez à l'AuthPoint management UI dans WatchGuard Cloud.
Pour vous connecter à WatchGuard Cloud, allez sur cloud.watchguard.com. Après vous être connecté, sélectionnez Configurer > AuthPoint.
Les comptes Service Provider ont un affichage différent de WatchGuard Cloud. Si vous possédez un compte Service Provider, vous devez sélectionner un compte dans le menu Gestionnaire de Comptes afin de configurer AuthPoint pour ce compte.
Ajouter une Ressource à Protéger par MFA
Pour configurer une MFA pour une application, vous devez ajouter une ressource pour le client dans AuthPoint et configurez les paramètres nécessaires pour la MFA dans votre application tierce.
Dans notre exemple, nous ajoutons une ressource de portail IdP (Identity Provider). Le portail IdP est une page de portail présentant aux utilisateurs la liste des Ressources SAML disponibles pour leur groupe AuthPoint. Étant donné que le portail IdP est une ressource AuthPoint, vous pouvez l'utiliser pour tester la MFA sans qu'une configuration tierce ne soit nécessaire.
Si vous voulez tester la MFA avec une application spécifique, consultez les Guides d'Intégration AuthPoint. Si vous ne trouvez pas de guide d'intégration pour l'application que vous voulez essayer avec AuthPoint, consultez Configurer la MFA pour une Application ou un Service ou Configurer la MFA pour un Client RADIUS.
Pour ajouter une ressource de portail IdP :
- Dans le menu de navigation, sélectionnez Ressources.
La page Ressources apparaît.
- Dans la liste déroulante Choisir un Type de Ressources, sélectionnez Portail IdP.
- Cliquez sur Ajouter la Ressource.
- Dans la zone de texte Nom, tapez un nom décrivant la ressource. Dans notre exemple, nous appelons cette ressource Self Service Portal.
- Dans la zone de texte Compte Alias, saisissez une valeur unique à ajouter à l'URL de votre portail IdP. Dans notre exemple, nous utilisons Washington. Cela signifie que l'URL de notre portail IdP est https://authpoint.watchguard.com/washington.
- Cliquez sur Enregistrer.
La ressource de portail IdP figure sur la page Ressources.
Ajouter un Groupe
Dans AuthPoint, les groupes vous permettent de définir les ressources auxquelles vos utilisateurs ont accès. Vous ajoutez les utilisateurs dans des groupes dans AuthPoint, puis vous ajoutez les groupes aux stratégies d'authentification spécifiant les ressources sur lesquelles les utilisateurs peuvent s'authentifier.
Vous devez ajouter au moins un groupe avant de pouvoir ajouter ou synchroniser les utilisateurs ou ajouter des stratégies d'authentification.
Pour ajouter un nouveau groupe :
- Dans le menu de navigation, sélectionnez Groupes.
- Cliquez sur Ajouter un Groupe.
- Sur la page Nouveau Groupe, saisissez un Nom et une Description pour votre groupe. La description est facultative, mais nous vous recommandons de préciser l'objectif du groupe. Dans notre exemple, le nom de ce groupe est Groupe A.
- Cliquez sur Enregistrer.
Votre groupe est listé sur la page Groupes.
Ajouter une Stratégie d’Authentification
Les stratégie d’authentification spécifient les ressources auxquelles les utilisateurs peuvent accéder et les méthodes d'authentification qu'ils peuvent utiliser (OTP, notification Push et QR code). Lorsque vous configurez une stratégie d'authentification, spécifiez ces paramètres :
- Si les authentifications sont autorisées ou refusées
- Les méthodes d'authentification requises
- Les ressources auxquelles s'applique la stratégie
- Les groupes d'utilisateurs auxquels s'applique la stratégie
- Les objets de stratégie s'appliquant aux authentifications
Pour ajouter une nouvelle stratégie d’authentification :
- Sélectionnez Stratégies d'Authentification.
- Cliquez sur Ajouter une Stratégie.
- Saisissez un nom pour cette stratégie d'authentification.
- Dans la liste déroulante Sélectionnez les options d'authentification, conservez la valeur par défaut Options d'authentification sélectionnée.
- En face de la liste déroulante des options d'authentification, sélectionnez les cases à cocher Mot de passe, Push, QR Code et One-Time Password. Ce sont les méthodes d'authentification que les utilisateurs peuvent choisir lorsqu'ils se connectent à cette ressource. La case à cocher Mot de passe exige que les utilisateurs saisissent leur mot de passe avant de s'authentifier sur cette ressource. Pour plus d'informations sur les méthodes d'authentification, consultez À propos de l'Authentification.
Ne sélectionnez pas les options d'Authentification supplémentaire. Ces options s'appliquent uniquement aux stratégies d'authentification comprenant une ressource SAML Office 365.
- Dans la liste des Groupes, sélectionnez le groupe AuthPoint que vous avez créé. Cette liste spécifie les groupes auxquels s'applique cette stratégie d'authentification. Dans notre exemple, nous sélectionnons Groupe A.
- Dans la liste Ressources, sélectionnez la ressource du portail IdP que vous avez créée. Cette liste détermine les ressources sur lesquelles les utilisateurs peuvent s'authentifier. Dans notre exemple, nous sélectionnons la ressource Portail Libre-Service que nous avons créée précédemment.
- Ignorez la liste des Objets de Stratégie.
- Cliquez sur Enregistrer.
Votre stratégie est créée et ajoutée à la fin de la liste des stratégies.
Ajouter un Utilisateur
Il existe deux manières d'ajouter des utilisateurs dans AuthPoint : vous pouvez synchroniser les utilisateurs à partir d'une base de données Active Directory Azure, Active Directory, ou LDAP (Lightweight Directory Access Protocol), ou ajouter des utilisateurs AuthPoint locaux.
Dans cette rubrique de démarrage rapide, nous détaillons les étapes pour ajouter un utilisateur de test local. Nous vous recommandons de commencer par un utilisateur de test avant d'ajouter ou synchroniser l'ensemble des utilisateurs finaux.
Pour apprendre à synchroniser un utilisateur à partir d'une base de données d'utilisateurs externe, consultez les sections Synchroniser des Utilisateurs à partir d'Active Directory ou de LDAP et Synchroniser des Utilisateurs à partir d'Azure Active Directory.
Pour ajouter un utilisateur :
- Sélectionnez Utilisateurs.
- Cliquez sur Ajouter un Utilisateur .
- Dans les zones de texte Prénom et Nom, saisissez le nom d'un utilisateur de test. Dans notre exemple, nous utilisons Jane Smith.
- Dans la zone de texte Nom d'Utilisateur, saisissez un nom unique pour cet utilisateur.
-
Dans la zone de texte E-mail, saisissez une adresse e-mail pour l'utilisateur de test. Pour tester AuthPoint, vous pouvez utiliser votre propre adresse e-mail, mais si vous synchronisez ultérieurement une base de données d'authentification dont vous faites partie, pensez à supprimer d'abord cet utilisateur de test.
Vous devez spécifier une adresse e-mail valide à laquelle vous pouvez accéder. Un message est envoyé à cette adresse e-mail pour définir votre mot de passe et activer votre jeton.
-
Dans la liste Groupes, sélectionnez le groupe AuthPoint auquel ajouter votre utilisateur. Le groupe détermine les stratégies d'authentification s'appliquant à cet utilisateur. Dans notre exemple, nous ajoutons Jane Smith au groupe Groupe A que nous avons créé précédemment.
- Cliquez sur Enregistrer.
L'utilisateur apparait avec une icône verte à côté de son nom d'utilisateur.
L'utilisateur reçoit deux e-mails. L'un sert à définir le mot de passe AuthPoint et l'autre sert à activer un jeton dans l'application mobile AuthPoint. Pour renvoyer les e-mails de configuration du mot de passe et d'activation, consultez Renvoyer l'E-mail d'Activation et Renvoyer l'E-mail de Définition du Mot de passe à un Utilisateur.
Configurer le Mot de passe et Activer le Jeton
Lorsque vous ajoutez un utilisateur, AuthPoint lui envoie deux e-mails pour qu'il configure son mot de passe AuthPoint et qu'il active un jeton dans l'application mobile AuthPoint.
Les utilisateurs synchronisés depuis une base de données Active Directory ou LDAP ne reçoivent pas l'e-mail Configurer le Mot de passe. Ils utilisent le mot de passe défini pour leur compte d’utilisateur dans Active Directory comme mot de passe AuthPoint.
Ouvrez l'e-mail Définir le Mot de passe envoyé au compte e-mail de test. Cliquez sur le lien figurant dans l'e-mail pour définir votre mot de passe. Lorsque vous y êtes invité(e), saisissez votre mot de passe, puis cliquez sur Enregistrer.
Votre mot de passe AuthPoint est maintenant défini. Ce mot de passe servira à vous authentifier pour vous connecter à des services et applications protégés.
Ensuite, vous devez activer votre jeton
Ouvrez l'e-mail d'Activation et cliquez sur le lien figurant dans l'e-mail. Ceci vous amène à la page web de Bienvenue à AuthPoint. Si vous ne l'avez pas encore fait, téléchargez et installez l'application mobile AuthPoint sur votre téléphone.
- Si vous avez ouvert la page Web sur votre téléphone, appuyez sur le bouton Activer. L'application AuthPoint s'ouvre et active votre jeton.
- Si vous avez ouvert la page Web sur votre ordinateur, ouvrez l'application AuthPoint sur votre téléphone, appuyez sur Activer dans l'application, puis dirigez la caméra du téléphone vers le QR code affiché sur l'écran de l'ordinateur.
Vous pouvez également activer les jetons sur le portail IdP. Vous pouvez procéder ainsi si vous souhaitez activer un nouveau jeton sur un autre périphérique mobile.
Lorsqu'un utilisateur parvient à activer un jeton, AuthPoint vous transmet un e-mail pour vous indiquer qu'un jeton a été activé pour le compte d'utilisateur. Vous pouvez consulter le jeton sur la page Utilisateurs.
Essayer la MFA
À ce stade, vous avez configuré une MFA pour une ou plusieurs de vos ressources. Vous pouvez maintenant vérifier que la MFA fonctionne.
Pour tester la MFA :
-
Dans un navigateur Web, naviguez jusqu'à l'adresse de connexion de votre portail IdP. Cette adresse doit être : https://authpoint.watchguard.com/<votre alias de compte>. Dans notre exemple, nous naviguons vers https://authpoint.watchguard.com/washington.
La page single sign-on AuthPoint s'affiche.Si vous ne connaissez pas l'URL de votre portail IdP, sur la page Ressources, sélectionnez la ressource de votre portail IdP pour rechercher son URL.
- Saisissez votre nom d'utilisateur AuthPoint ou votre adresse e-mail. Cliquez sur Suivant.
- Dans la zone de texte Mot de passe, entrez votre mot de passe AuthPoint. Vous devez le faire avant de pouvoir sélectionner une méthode d'authentification. Cela est dû au fait que nous avons coché la case Mot de passe lorsque nous avons configuré la stratégie d'authentification pour cette ressource.
- Cliquez sur Envoyer Push pour tester l'authentification Push.
- Approuvez la demande d'authentification que vous recevez sur votre périphérique mobile.
Vous êtes connecté au portail IdP.
Après vous être connecté au portail IdP, une page blanche s'affiche sans aucune application listée. Ceci est dû au fait que vous n'avez pas configuré de ressources SAML. Après avoir ajouté des ressources SAML, le portail IdP affiche une liste de toutes les ressources SAML disponibles pour votre groupe AuthPoint.
Voir Également
Guides d'Intégration AuthPoint
Guide de Déploiement d'AuthPoint