Configurez les stratégies d'authentification pour spécifier les ressources sur lesquelles les utilisateurs d'AuthPoint peuvent s'authentifier ainsi que les méthodes d'authentification à leur disposition (Push, QR code et OTP). Lorsque vous configurez une stratégie d'authentification, spécifiez :
- Si la stratégie autorise ou refuse les authentifications.
- Les méthodes d'authentification requises.
- Les ressources auxquelles s'applique la stratégie.
- Les groupes d'utilisateurs auxquels s'applique la stratégie.
- Les objets de stratégie s'appliquant aux authentifications.
Des utilisateurs non membres de groupes possédant une stratégie d'authentification sur une ressource donnée ne peuvent pas s'authentifier pour s'y connecter.
Les stratégies d'authentification comportent plusieurs éléments clés :
Ressources
Les ressources sont les applications et les services auxquels vos utilisateurs se connectent, tels que Salesforce, Office 365, un réseau privé VPN (Virtual Private Network) ou votre Firebox. Lorsque vous ajoutez une ressource, vous fournissez les informations nécessaires pour vous connecter à cette ressource.
Groupes
Les groupes vous permettent de définir les ressources auxquelles vos utilisateurs ont accès. Vous ajoutez les utilisateurs dans des groupes dans AuthPoint, puis vous ajoutez les groupes aux stratégies d'authentification spécifiant les ressources sur lesquelles les utilisateurs peuvent s'authentifier.
Objets de Stratégie
Les objets de stratégie sont les composants d'une stratégie configurables individuellement, tels que les emplacements réseau. Vous pouvez configurer les objets de stratégie avant de les ajouter aux stratégies d'authentification. Lorsque vous ajoutez un objet de stratégie à une stratégie d'authentification, la stratégie s'applique uniquement aux authentifications d'utilisateur correspondant aux conditions de l'authentification et des objets de stratégie. À titre d'exemple, si vous ajoutez un emplacement réseau spécifique à une stratégie, celle-ci ne s'applique qu'aux authentifications des utilisateurs qui en proviennent.
Les objets de stratégie d'emplacement réseau vous permettent de configurer une liste d'adresses IP. Vous pouvez ensuite configurer des stratégies d'authentification spécifiques s'appliquant uniquement lorsque les utilisateurs s'authentifient à partir de ces adresses IP.
Les objets de stratégie de planification horaire vous permettent de spécifier les dates et heures auxquelles les stratégies d'authentification s'appliquent aux authentifications des utilisateurs.
Exigences et Recommandations
Lorsque vous configurez des stratégies, assurez-vous de respecter les exigences et les recommandations suivantes :
- Vous devez posséder au moins un groupe avant de configurer les stratégies d'authentification.
- Pour l'authentification RADIUS et l'authentification de base (ECP), les stratégies possédant un emplacement réseau ne s'appliquent pas, car AuthPoint ne dispose pas de l'adresse IP de l'utilisateur final ni de l'adresse IP d'origine.
- Les stratégies comprenant des objets de stratégie ne s'appliquent qu'aux authentifications d'utilisateurs correspondant aux conditions de tous les objets de stratégie. Les utilisateurs disposant uniquement d'une stratégie comprenant des objets de stratégie n'ont pas accès à la ressource lorsque les conditions des objets de stratégie ne s'appliquent pas à l'authentification. Cela est dû au fait qu'ils ne disposent d'aucune stratégie applicable et non car leur authentification est refusée.
- Les stratégies comprenant des emplacements réseau s'appliquent uniquement aux authentifications des utilisateurs provenant de cet emplacement réseau. Les utilisateurs disposant uniquement d'une stratégie incluant un emplacement réseau ne peuvent pas accéder à la ressource lorsqu'ils s'authentifient hors de cet emplacement réseau.
- Les stratégies comprenant des planifications horaires s'appliquent uniquement aux authentifications des utilisateurs pendant la planification horaire spécifiée. Les utilisateurs disposant uniquement d'une stratégie comprenant une planification horaire ne peuvent pas accéder à la ressource lorsqu'ils s'authentifient en dehors des heures de cette planification horaire.
- Si vous configurez des objets de stratégie, nous vous recommandons de créer une deuxième stratégie sans objet de stratégie pour ces groupes et ces ressources. Attribuez une priorité plus élevée à la stratégie possédant les objets de stratégie.
- Si vous activez les méthodes d'authentification push et OTP dans une stratégie, les ressources RADIUS associées à cette dernière utilisent les notifications push pour authentifier les utilisateurs.
- Vous devez activer la méthode d'authentification push pour les stratégies comprenant des ressources RADIUS MS-CHAPv2.
- Les ressources RADIUS ne prennent pas en charge l'authentification par QR code.
Ajouter des Stratégies d'Authentification
Pour configurer une stratégie d'authentification, dans AuthPoint management UI :
- Sélectionnez Stratégies d'Authentification.
- Cliquez sur Ajouter une Stratégie.
- Saisissez le nom de la stratégie.
- Dans la liste déroulante Sélectionnez les options d'authentification, sélectionnez une option pour spécifier s'il est nécessaire d'exiger l'authentification MFA ou de refuser les authentifications pour cette stratégie.
- Options d'authentification — Exige la MFA lorsque les utilisateurs des groupes associés à cette stratégie s'authentifient sur les ressources associées à celle-ci.
- Authentification non autorisée — Refuse les authentifications lorsque les utilisateurs des groupes associés à cette stratégie tentent de s'authentifier sur les ressources associées à cette stratégie
-
Si vous exigez la MFA pour cette stratégie, sélectionnez la case à cocher correspondant à chaque option d'authentification que les utilisateurs peuvent sélectionner lorsqu'ils s'authentifient. Pour plus d'informations sur les méthodes d'authentification, consultez À propos de l'Authentification.
Si vous activez les méthodes d'authentification push et OTP dans une stratégie, les ressources RADIUS associées à cette dernière utilisent les notifications push pour authentifier les utilisateurs.
L'authentification par QR code n'est pas prise en charge pour les ressources RADIUS.
- Pour les stratégies comprenant une ressource Office 365, si vous exigez une authentification pour une machine ou une ressource appartenant à votre domaine Office 365 mais ne pouvant pas utiliser la MFA telle qu'une imprimante, sélectionnez la case à cocher Authentification de Base. L'authentification de base est également appelée Enhanced Client or Proxy (ECP).
- Dans la liste Groupes, sélectionnez les groupes auxquels s'applique cette stratégie. Vous pouvez sélectionner plusieurs groupes. Pour configurer cette stratégie de manière à l'appliquer à tous les groupes, sélectionnez Tous les Groupes.
- Dans la liste Ressources, sélectionnez les ressources auxquelles cette stratégie s'applique. Pour configurer cette stratégie afin qu'elle s'applique à toutes les ressources, sélectionnez Toutes les Ressources.
- Sélectionnez les objets de stratégie s'appliquant à cette stratégie. Pour plus d'informations sur les objets de stratégie, consultez À propos des Objets de Stratégie.
Pour l'authentification RADIUS et l'authentification de base (ECP), les stratégies possédant un emplacement réseau ne s'appliquent pas, car AuthPoint ne dispose pas de l'adresse IP de l'utilisateur ni de l'adresse IP d'origine.
Si vous configurez des objets de stratégie, nous vous recommandons de créer une deuxième stratégie sans objet de stratégie pour ces groupes et ces ressources. Attribuez une priorité plus élevée à la stratégie possédant les objets de stratégie. Pour plus d'informations, consultez À propos de l'Ordre de Priorité des Stratégies.
- Cliquez sur Enregistrer.
Votre stratégie est créée et ajoutée à la fin de la liste des stratégies.Après avoir créé une nouvelle stratégie, nous vous recommandons de réviser l'ordre des stratégies. AuthPoint ajoute toujours les nouvelles stratégies à la fin de la liste des stratégies.
