Activer Active Directory SSO sur le Firebox

Cette procédure décrit l'activation du Single Sign-On d'Active Directory. Pour plus d'informations sur l'activation du Single Sign-On de RADIUS, consultez Activer Single Sign-On pour RADIUS.

Avant de pouvoir activer le SSO d'Active Directory, vous devez :

Si votre périphérique exécute Fireware v11.0–v11.3.x, les paramètres d'authentification Terminal Services ne sont pas disponibles.

Activer et Configurer SSO

Lorsque vous activez et configurez les paramètres de SSO sur votre Firebox, vous devez spécifier l'adresse IP de SSO Agent.

Dans Fireware v12.2 et les versions ultérieures, vous pouvez spécifier jusqu'à quatre SSO Agent. Seul un SSO Agent est actif simultanément. Si le SSO Agent actif devient indisponible, le Firebox bascule automatiquement vers le SSO Agent suivant de votre configuration. Vous pouvez également basculer manuellement vers un SSO Agent. Pour de plus amples informations concernant le basculement de SSO Agent, consultez la section Basculement de cette section.

Vous pouvez également spécifier les adresses IP (ou les plages) à exclure des requêtes SSO et activer SSO via les tunnels Branch Office VPN du Firebox.

Lorsque vous activez le SSO via les tunnels BOVPN, les connexions SSO passant par le tunnel vers vos postes de travail de domaine peuvent augmenter la consommation de trafic du tunnel.

Si le Firebox exécute Fireware v12.1.1 ou une version antérieure, les étapes d'activation et de configuration de SSO sont différentes. Pour obtenir les instructions s'appliquant à Fireware v12.1.1 et aux versions antérieures, consultez Activer Active Directory Single Sign-On (Fireware v12.1.1 et versions antérieures) dans la Base de Connaissances WatchGuard.

  1. Sélectionnez Authentification > Single Sign-On.

    La page Single Sign-On s'affiche.
  2. Activez la case à cocher Activer SSO (Single Sign-On) avec Active Directory.

Capture d'écran de la page Authentification Single Sign-On avec SSO activé

  1. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter un SSO Agent s'affiche.
  2. Dans la zone de texte Adresse IP, saisissez l'adresse IP du serveur sur lequel SSO Agent est installé.
  3. (Facultatif) Dans la zone de texte Description, saisissez la description de SSO Agent.

Capture d'écran de la boîte de dialogue Ajouter un SSO Agent

  1. Cliquez sur OK.
  2. (Facultatif) Pour ajouter des SSO Agent supplémentaires, répétez les étapes 3 à 6. Jusqu'à quatre SSO Agent s'affichent dans la liste.

Capture d'écran de plusieurs SSO Agent configurés sur le Firebox

  1. (Facultatif) Pour ajouter des adresses IP ou des plages à exclure des requêtes SSO, dans la section Exceptions SSO, cliquez sur Ajouter. Pour plus d'informations sur les exceptions SSO, consultez la section Définir les exceptions SSO.
    La boîte de dialogue Ajouter une exception SSO apparaît.
  2. Dans la liste déroulante Choisir le Type, sélectionnez Hôte IP, Réseau IP ou Plage d'Hôtes.

    1. Saisissez l'adresse IP, l'adresse réseau ou la plage d'hôtes.
    2. Dans la zone de texte Description, saisissez la description de l'hôte pour lequel vous souhaitez créer une exception à partir de SSO.

    Capture d'écran d'une Exception SSO

    1. Cliquez sur OK.

  3. Dans la zone de texte Intervalle de Conservation d'Activité, indiquez une valeur en secondes comprise entre 1 et 120.
  4. Dans la zone de texte Délai de Conservation d'Activité, indiquez une valeur en secondes comprise entre 10 et 1200.
  5. (Facultatif) Pour autoriser les utilisateurs connectés au réseau via un tunnel BOVPN à utiliser SSO, cochez la case Activer Single Sign-On (SSO) via les tunnels BOVPN.

Capture d'écran de la configuration des SSO Agent

  1. Cliquez sur Enregistrer.
  1. Sélectionnez Configuration > Authentification > Single Sign-On.
    La boîte de dialogue Single Sign-On s'affiche.
  2. Activez la case à cocher Activer SSO (Single Sign-On) avec Active Directory.
  3. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter l'Adresse IP de SSO Agent s'affiche.

Capture d'écran de la boîte de dialogue Ajouter un SSO Agent

  1. Dans la liste déroulante Choisir le Type, sélectionnez Hôte IPv4.
  2. Dans la zone de texte Valeur, saisissez l'adresse IP du serveur sur lequel SSO Agent est installé.
  3. (Facultatif) Dans la zone de texte Description, saisissez la description de SSO Agent.
  4. Cliquez sur OK.
  5. (Facultatif) Pour ajouter des SSO Agent supplémentaires, répétez les étapes 3 à 7. Jusqu'à quatre SSO Agent s'affichent dans la liste.
  6. (Facultatif) Pour ajouter des adresses IP ou des plages à exclure des requêtes SSO, dans la section Exceptions SSO, cliquez sur Ajouter. Pour plus d'informations sur les exceptions SSO, consultez la section Définir les Exceptions SSO.
    La boîte de dialogue Ajouter une Exception SSO s'affiche.
    1. Dans la liste déroulante Choisir le Type, sélectionnez Hôte IPv4, Réseau IPv4, Plage d'Hôtes ou Nom d'Hôte (Recherche DNS).
    2. Saisissez l'adresse IP, l'adresse réseau, la plage d'hôtes ou le nom d'hôte.
    3. Dans la zone de texte Description, saisissez la description de l'hôte pour lequel vous souhaitez créer une exception à partir de SSO.

    Capture d'écran de la boîte de dialogue Ajouter une exception SSO

    1. Cliquez sur OK.
  7. Dans la zone de texte Intervalle de Conservation d'Activité, indiquez une valeur en secondes comprise entre 1 et 120.
  8. Dans la zone de texte Délai de Conservation d'Activité, indiquez une valeur en secondes comprise entre 10 et 1200.
  9. Pour permettre aux utilisateurs qui se connectent à votre réseau via un tunnel BOVPN d'utiliser SSO, cochez la case Activer Single Sign-On (SSO) via les tunnels BOVPN.

Capture d'écran de la boîte de dialogue Ajouter une exception SSO

  1. Cliquez sur Enregistrer.

Définir les exceptions SSO

Si votre réseau comprend des périphériques dont les adresses IP ne nécessitent pas d'authentification tels que les serveurs, commutateurs et routeurs réseau, les serveurs d'impression ou des ordinateurs n'appartenant pas au domaine, si des utilisateurs de votre réseau interne doivent s'authentifier manuellement sur le Portail d'Authentification ou si vous possédez des serveurs terminaux destinés à Terminal Services Agent, nous vous recommandons d'ajouter leurs adresses IP à la liste des Exceptions SSO.

Chaque fois qu'une connexion est établie à partir d'une adresse IP qui ne figure pas dans la liste des exceptions, le Firebox contacte le SSO Agent pour tenter d'associer l'adresse IP à un nom d'utilisateur. Cette opération prend environ 10 secondes. Vous pouvez utiliser la liste des exceptions SSO pour supprimer ce temps d'attente à chaque connexion, réduire le trafic réseau inutile et permettre aux utilisateurs de s'authentifier et de se connecter sans attendre au réseau.

Lorsque vous ajoutez une entrée à la liste des exceptions SSO, vous pouvez choisir d'ajouter une adresse IP de l’hôte, une adresse IP de réseau, un sous-réseau, un nom DNS d'hôte (depuis Policy Manager uniquement) ou une plage d'hôtes.

  1. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter des adresses IP s'affiche.
  2. Dans la liste déroulante Choisir le type, sélectionnez le type d'entrée à ajouter à la liste Exceptions SSO :
    • IP de l'Hôte
    • IP du Réseau
    • Plage d'Hôtes
      Les zones de texte qui s'affichent varient en fonction du type choisi.
  3. Saisissez l'adresse IP correspondant au type choisi.
    Si vous avez sélectionné le type Plage d'hôte, dans les zones de texte De et À, entrez les adresses IP de début et de fin de la plage.
  4. (Facultatif) Dans la zone de texte Description, saisissez une description à ajouter à l'exception dans la liste des exceptions SSO.
  5. Cliquez sur OK.
    L'adresse IP ou la plage s'affiche dans la liste des exceptions SSO.
  6. Cliquez sur Enregistrer.
  1. Sous la liste Exceptions SSO, cliquez sur Ajouter.
    La boîte de dialogue Ajouter une exception SSO apparaît.

Capture d'écran de la boîte de dialogue Ajouter une exception SSO

  1. Dans la liste déroulante Choisir le type, sélectionnez le type d'entrée à ajouter à la liste des exceptions SSO :
    • IPv4 de l'Hôte
    • IPv4 du Réseau
    • IPv4 de Plage d'Hôtes
    • Nom d'Hôte (recherche DNS)

Capture d'écran de la boîte de dialogue Ajouter une exception SSO avec les options de choix du type

  1. Dans la zone de texte Valeur, saisissez l'adresse IP correspondant au type choisi.

Si vous avez sélectionné Plage d'hôtes, dans la zone de texte Valeur, saisissez l'adresse IP du début de la plage.

Dans la zone de texte À, saisissez l'adresse IP de fin de la plage.

  1. (Facultatif) Dans la zone de texte Description, saisissez une description à ajouter à l'exception dans la liste des exceptions SSO.
    La zone de texte Commentaire n'apparaît pas pour le type Nom d'hôte.
  2. Cliquez sur OK.

    L'adresse IP ou la plage s'affiche dans la liste des exceptions SSO.

Capture d'écran de la section Single Sign-On de la boîte de dialogue Paramètres d'authentification avec des exemples d'exceptions SSO.

Vous pouvez également modifier ou supprimer des entrées de la liste Exceptions SSO.

  1. Dans la liste Exceptions SSO, sélectionnez une entrée.
  2. Cliquez sur Modifier.
    La boîte de dialogue Modifier une exception IP SSO s'ouvre.
  3. Modifiez les paramètres de l'exception SSO.
  4. Cliquez sur OK.
    L'entrée mise à jour s'affiche dans la liste Exceptions SSO.

Capture d'écran de la boîte de dialogue Modifier une exception IP SSO

  1. Cliquez sur OK.
  1. Dans la liste Exceptions SSO, sélectionnez une entrée.
  2. Cliquez sur Supprimer.
    L'entrée sélectionnée est supprimée de la liste des exceptions SSO.
  3. Cliquez sur Enregistrer.
  1. Dans la liste Exceptions SSO, sélectionnez une entrée.
  2. Cliquez sur Supprimer.

    L'entrée sélectionnée est supprimée de la liste des exceptions SSO.
  3. Cliquez sur OK.

Basculement

Si vous spécifiez plusieurs SSO Agent, le basculement automatique se produit si le SSO Agent actif devient indisponible. Le basculement s'effectue de manière séquentielle. Par exemple, si le premier SSO Agent de la liste devient indisponible, le basculement s'effectue vers le deuxième SSO Agent de la liste. Si le dernier SSO Agent de la liste est actif et devient indisponible, le basculement s'effectue vers le premier SSO Agent de la liste.

Le système ne propose pas de restauration automatique. Par exemple, si le premier SSO Agent de la liste devient indisponible, le basculement s'effectue vers le deuxième agent de la liste. Si le premier SSO Agent redevient disponible, le deuxième SSO Agent demeure l'agent actif. Aucune restauration automatique n'a lieu vers le premier SSO Agent.

Vous pouvez également opter pour basculer manuellement vers un autre SSO Agent. Seule la version v12.2 de SSO Agent et les versions ultérieures prennent en charge le basculement.

Pour basculer manuellement vers un autre SSO Agent, à partir de Fireware Web UI :

  1. Sélectionnez État du Système > SSO Agents.
  2. Sélectionnez un agent.
  3. Cliquez sur Basculer vers SSO Agent.

Pour basculer manuellement vers un autre SSO Agent, à partir de Firebox System Manager :

  1. Sélectionnez Outils > SSO Agents.
  2. Sélectionnez un agent.
  3. Cliquez sur Basculer vers SSO Agent.

Voir Également

À propos de Active Directory Single Sign-On (SSO)

Comment fonctionne Active Directory SSO ?

Démarrage Rapide — Configurer Single Sign-On (SSO) avec Active Directory

Dépanner Active Directory SSO