Outil d'administration Gatekeeper

L'outil d'administration Gatekeeper fournit un aperçu des composants installés et peut être utilisé pour gérer les paramètres de configuration système créés lors de l'installation.

Gatekeeper

Les paramètres suivants peuvent être configurés à partir de l'onglet Gatekeeper.

Mise à niveau de l'outil d'administration Gatekeeper

Pour plus d'informations sur la mise à niveau vers la dernière version de Specops Authentication, consultez la page de mise à niveau.

Voir les certificats

Les certificats pour le client Gatekeeper et l'authentification backend Gatekeeper peuvent être consultés en cliquant sur le lien Voir.

Modifier les paramètres du proxy

Si votre organisation utilise un serveur proxy pour acheminer le trafic Internet vers l'extérieur, vous devrez configurer le serveur proxy pour permettre à Gatekeeper d'accéder à Internet. Cliquez sur Modifier sur la ligne Proxy et spécifiez l'adresse comme une URL complète, y compris le protocole et tout port personnalisé.

Modifier les Gatekeepers

Si vous avez plusieurs Gatekeepers, vous pouvez basculer entre eux:

Cliquez sur Modifier en haut à gauche.
Dans la fenêtre Sélectionner Gatekeeper, mettez en surbrillance le Gatekeeper vers lequel vous souhaitez basculer.
Cliquez sur OK.

Commandes générales

En haut à droite de cet onglet se trouve une boîte avec des commandes générales. Celles-ci incluent les éléments suivants:

Actualiser: actualise les informations dans l'onglet.
Vérifier la nouvelle version de l'outil d'administration: vérifie si l'outil d'administration doit être mis à jour.
Migrer depuis SPR: ouvre l'assistant de migration pour migrer les données de Specops Password Reset.
Effacer les caches sur tous les Gatekeepers: efface tous les caches sur les Gatekeepers.

Gestion des Gatekeepers hors ligne

Afin de résoudre correctement tous les Gatekeepers disponibles, tout Gatekeeper hors ligne (non utilisé) doit être éliminé correctement. La méthode recommandée pour ce faire est via l'outil d'administration Gatekeeper.

Désenregistrement des Gatekeepers (recommandé)

Dans l'outil d'administration Gatekeeper, assurez-vous d'avoir accédé au Gatekeeper que vous souhaitez désenregistrer (pour des informations sur le changement vers d'autres Gatekeepers, voir la section Changer de Gatekeeper ci-dessus).
Cliquez sur Désenregistrer en haut à droite du champ Installation de Gatekeeper.
Confirmez que vous souhaitez désenregistrer ce Gatekeeper en cliquant sur Oui dans la fenêtre Désenregistrer Gatekeeper.

Suppression manuelle des Gatekeepers

Si, pour une raison quelconque, le Gatekeeper hors ligne (non utilisé) n'a pas été désenregistré en utilisant la méthode mentionnée ci-dessus (par exemple, parce que le serveur sur lequel il était installé n'est plus présent pour une raison quelconque), des étapes manuelles supplémentaires doivent être prises.

Remarque

Si un Gatekeeper non utilisé n'a pas été désenregistré dans l'outil d'administration Gatekeeper, les fichiers restants devront être supprimés manuellement pour que Gatekeeper soit résolu correctement.

Supprimez le Gatekeeper du cloud
1. Accédez à Authentication Web et cliquez sur Gatekeepers.
2. Mettez en surbrillance le Gatekeeper que vous souhaitez désenregistrer dans la liste.
3. Cliquez sur Désenregistrer Gatekeeper.
  
  Remarque
  
  Ce processus de désenregistrement n'est pas le même que celui effectué par l'outil d'administration Gatekeeper. Le processus de désenregistrement initié depuis l'outil d'administration Gatekeeper effectuera toutes les étapes nécessaires pour éliminer le Gatekeeper non utilisé, et ne nécessite aucune étape manuelle.
4. Dans la fenêtre de confirmation, cliquez sur Désenregistrer.
Supprimez le point de connexion de service (SCP) de l'Active Directory.
1. Sur le serveur où le Gatekeeper est installé, ouvrez l'outil Utilisateurs et ordinateurs Active Directory.
2. Assurez-vous que les Fonctionnalités avancées sont activées (menu supérieur Affichage > Fonctionnalités avancées).
3. Naviguez vers Système > Specops > SpecopsAuthentication > Gatekeepers.
4. Faites un clic droit sur le Gatekeeper correct et sélectionnez Supprimer.

Paramètres Active Directory

Les paramètres suivants peuvent être configurés à partir de l'onglet Paramètres Active Directory.

Modifier le périmètre de gestion

Le périmètre Active Directory détermine quels utilisateurs peuvent utiliser le service Specops Authentication.

Dans l'outil d'administration Gatekeeper, cliquez sur Paramètres Active Directory.
Trouvez la ligne où le périmètre actuel de l'Active Directory est affiché, et cliquez sur Modifier.
Sélectionnez le périmètre Active Directory souhaité, et cliquez sur Ajouter. Plusieurs emplacements peuvent être sélectionnés si vous souhaitez plusieurs périmètres de gestion.
Cliquez sur OK.

Activer les réinitialisations de mot de passe dans Specops Authentication

Vous pouvez activer les fonctionnalités uReset et Secure Service Desk dans Specops Authentication. Pour uReset, permettez aux utilisateurs finaux de traiter des tâches courantes liées à la gestion des mots de passe, y compris les mots de passe oubliés. Cette fonctionnalité est verrouillée à moins que vous n'ayez uReset dans le cadre de votre abonnement. Pour Secure Service Desk, cela permet l'administration des utilisateurs dans Secure Service Desk. Cette fonctionnalité est verrouillée à moins que vous n'ayez Secure Service Desk dans le cadre de votre abonnement.

Dans l'outil d'administration Gatekeeper, cliquez sur Paramètres Active Directory.
Dans la section Paramètres Active Directory, cliquez sur Modifier dans la ligne Autoriser les réinitialisations de mot de passe.
Sélectionnez l'une des options suivantes lors de l'activation de la fonctionnalité de réinitialisation de mot de passe:
- Mode de sécurité standard: Tous les utilisateurs qui sont membres du groupe Agents du Service Desk Specops Authentication pourront réinitialiser les mots de passe pour d'autres utilisateurs.
- Mode de sécurité délégué: Le contrôle d'accès pour réinitialiser les mots de passe pour d'autres utilisateurs est basé sur la configuration de sécurité réelle (permission 'réinitialiser le mot de passe') dans Active Directory.
Cliquez sur OK.

Ajouter/supprimer des membres aux groupes de sécurité

Vous pouvez ajouter des membres supplémentaires aux groupes Admin, Admin utilisateur, Gatekeepers et Lecteurs de rapports. Les utilisateurs qui sont membres du groupe Admin sont administrateurs du portail sur le Web Specops Authentication. Les utilisateurs qui sont membres du groupe Admin utilisateur peuvent accéder aux fonctionnalités de gestion des utilisateurs sur le Web Specops Authentication. Les utilisateurs qui sont membres du groupe Gatekeepers ont la permission de lire les informations utilisateur.

Dans l'outil d'administration Gatekeeper, cliquez sur Paramètres Active Directory.
Trouvez le groupe de sécurité que vous souhaitez modifier, et cliquez sur Modifier les membres.
Pour ajouter un membre, cliquez sur Ajouter un membre, et entrez le nom de l'utilisateur ou du groupe que vous souhaitez ajouter, puis cliquez sur OK.
Pour supprimer un membre, sélectionnez un membre dans la liste des membres du groupe, et cliquez sur Supprimer le membre sélectionné, puis cliquez sur OK.
Cliquez sur OK.

Groupe Lecteurs de rapports

Les membres du groupe de sécurité Lecteurs de rapports dans l'outil d'administration Gatekeeper peuvent se connecter au Web Specops Authentication pour voir les rapports. À moins qu'ils ne soient également membres d'autres groupes de sécurité, ils ne verront aucune autre section dans le Web Specops Authentication.

Remarque

Les membres de ce groupe pourront voir tous les rapports liés au compte. Vous ne pouvez pas filtrer quels rapports sont visibles ou non.

Spécifier le contrôleur de domaine préféré

Par défaut, Specops Authentication utilisera le contrôleur de domaine disponible le plus proche. Cliquez sur Modifier pour spécifier le contrôleur de domaine préféré.

Accès sécurisé

Les paramètres suivants peuvent être configurés à partir de l'onglet Accès sécurisé.

Gérer les GPOs d'accès sécurisé

Vous pouvez marquer les GPOs que vous souhaitez utiliser avec la fonctionnalité Accès sécurisé sur Specops Authentication. Les utilisateurs concernés s'authentifieront avec un second facteur lors de la connexion à leur compte Windows.

Dans l'outil d'administration Gatekeeper, cliquez sur Accès sécurisé.
Cliquez sur Marquer les GPOs en haut de la section GPOs marqués pour MFA pour Windows, sélectionnez l'objet de stratégie de groupe, et cliquez sur OK.

Gérer les GPOs du compagnon NPS

Vous pouvez marquer les GPOs que vous souhaitez utiliser avec la fonctionnalité Compagnon NPS (Radius) sur Accès sécurisé. Les utilisateurs concernés s'authentifieront avec un second facteur lors de la connexion à leur compte Windows en utilisant l'accès à distance. Pour plus d'informations, voir cette page.

Dans l'outil d'administration Gatekeeper, cliquez sur Accès sécurisé.
Cliquez sur Marquer les GPOs en haut de la section GPOs marqués pour Compagnon NPS, sélectionnez l'objet de stratégie de groupe, et cliquez sur OK.

Configuration de l'email

Si vous ne souhaitez pas utiliser la configuration par défaut de Specops, qui utilise des fournisseurs tiers, tels que SendGrid, pour envoyer des notifications par email, vous pouvez configurer votre propre fournisseur SMTP dans cette section de l'outil d'administration Gatekeeper. Pour des informations sur la modification de la configuration par défaut de Specops dans le Web Specops Authentication, veuillez vous référer à la page Web Specops Authentication.

Remarque

La configuration du paramètre SMTP dans l'outil d'administration Gatekeeper désactivera toute configuration dans le Web Specops Authentication.

Configuration des paramètres SMTP

Les paramètres SMTP peuvent être configurés de trois manières:

En utilisant la configuration par défaut de Specops (configurée dans Web Specops Authentication)
En utilisant SMTP avec accès anonyme
En utilisant SMTP avec authentification de base

Cliquez sur Modifier
Sélectionnez le type de configuration que vous souhaitez utiliser dans le menu déroulant (authentification anonyme ou de base)
Entrez le domaine pour le serveur SMTP (champ requis)
Définissez le nombre maximum de connexions simultanées que Gatekeeper utilisera lors de l'envoi d'emails.

Remarque

Chaque fois que des modifications sont apportées dans ce champ, tous les Gatekeepers concernés doivent être redémarrés.

Remarque

La valeur par défaut pour le nombre maximum de connexions simultanées est fixée à 10. Veuillez consulter la documentation de votre serveur SMTP sur le nombre de connexions simultanées autorisées.
Entrez le port SMTP (par défaut, il est réglé sur le port 25)
Utilisez le menu déroulant pour définir si TLS (Transport-Level Security) doit être utilisé.

Remarque

Réglez cette option sur Oui si vous souhaitez activer le chiffrement pour les mails sortants. Notez que l'activation de TLS définira automatiquement le port SMTP sur 587.

Remarque

Notez qu'un certificat SSL valide est requis pour utiliser TLS lors de l'envoi de mails SMTP.
Entrez l'Adresse Email de l'Expéditeur (champ requis) et le Nom d'Affichage de l'Expéditeur
Pour l'authentification de base uniquement: entrez le nom d'utilisateur SMTP et le mot de passe
Cliquez sur OK
Cliquez sur OK dans la boîte de dialogue de succès et redémarrez tous les Gatekeepers si l'option Connexion simultanée max a été modifiée.

Paramètres Microsoft Entra ID

Vous pouvez utiliser Microsoft Entra ID pour synchroniser lors de la réinitialisation ou du changement de mot de passe. Afin de configurer le paramètre Microsoft Entra ID dans l'outil d'administration Gatekeeper, vous devez d'abord configurer une application dans Microsoft Entra ID et lui donner les autorisations correctes.

Exigences

Exigence
Client dans Microsoft Entra ID
Abonnements dans Microsoft Entra ID

Configuration d'une application dans Microsoft Entra

Connectez-vous à https://entra.microsoft.com/
Cliquez sur Microsoft Entra ID. Cela devrait vous amener au répertoire de votre organisation.
Cliquez sur Enregistrements d'application.
Cliquez sur Nouvel enregistrement.
Entrez un nom pour l'application dans le champ Nom.
En utilisant les boutons radio, sélectionnez le type de compte pris en charge (Client unique ou Multi-client)
Cliquez sur Enregistrer. Dans l'écran de résumé de l'application suivant, sous la section Essentiels, notez (copiez) l'ID d'application (client) et l'ID de répertoire (client). Ceux-ci seront utilisés pour la configuration.
Dans la navigation de gauche de l'écran de résumé de l'application, cliquez sur Certificats et secrets.
Cliquez sur Nouveau secret client. Entrez une description et définissez une période d'expiration en utilisant le menu déroulant Expiration, puis cliquez sur Ajouter.
Copiez et stockez le secret dans la colonne Valeur pour le mot de passe. Cela sera également utilisé pour la configuration.

Remarque

Lors de la configuration d'un point de synchronisation (Specops Password Sync), notez que cette valeur doit être collée dans le champ Mot de passe du fournisseur dans la configuration du point de synchronisation.
Dans la navigation gauche (la plus à gauche) du centre d'administration Microsoft Entra ID, cliquez sur Microsoft Entra ID, puis cliquez sur Rôles et administrateurs.
Dans la liste, cliquez sur un rôle qui sera suffisant pour réinitialiser les mots de passe.

Remarque

Pour un aperçu des rôles et de leurs autorisations, veuillez consulter Travailler avec les utilisateurs dans Microsoft Graph. Notez que le rôle minimum requis pour réinitialiser les mots de passe est le rôle Administrateur de mot de passe.
Cliquez sur Ajouter des affectations en haut. La barre latérale Ajouter des affectations s'ouvrira à droite.
Dans la boîte de recherche, entrez le nom de l'application enregistrée, cliquez sur l'application dans la liste des résultats de recherche, puis cliquez sur Ajouter en bas.

Étapes suivantes

Notez ou copiez l'ID d'application (client), l'ID de répertoire (client), et le Secret client, puis procédez à la configuration des paramètres Microsoft Entra ID dans l'outil d'administration Gatekeeper.

Configuration de l'outil d'administration Gatekeeper

Dans l'outil d'administration Gatekeeper, sélectionnez Paramètres Microsoft Entra ID.
Dans le champ Paramètres Microsoft Entra ID, cliquez sur Modifier.
Entrez l'ID client (ID d'application (client)).
Entrez l'ID client (ID de répertoire (client)).
Entrez le Secret client (Valeur du secret client).
Cliquez sur OK.
Dans la boîte de navigation de droite, cliquez sur Tester la connexion pour voir si une connexion à Microsoft Entra ID a été établie.

Une fois la connexion établie, le Gatekeeper commencera à se synchroniser avec Microsoft Entra ID lors de la réinitialisation ou du changement de mot de passe.

Identité Windows

Cette section montre les paramètres pour l'authentification intégrée Windows. Ces paramètres peuvent également être modifiés ici.

Remarque

NTLM est un protocole hérité, qui n'est disponible que pour les anciens clients Specops. Les nouveaux clients auront le service d'identité désactivé par défaut, et ne pourront choisir qu'entre Désactivé ou Kerberos.

L'authentification intégrée Windows permet aux informations d'identification Active Directory des utilisateurs de passer par leur navigateur vers un serveur web, envoyées hachées (NTLM) ou chiffrées (Kerberos). La configuration de l'authentification intégrée pour l'utilisateur authentifiera automatiquement l'utilisateur avec l'identité Windows, et accordera le jeton d'authentification de l'identité Windows.

Activation de l'authentification intégrée

Par défaut, l'authentification intégrée est désactivée pour les nouveaux clients. Si vous souhaitez utiliser l'authentification intégrée, procédez comme suit:

Remarque

Il est recommandé d'utiliser le type de compte Group Managed Service Accounts lors de l'installation des Gatekeepers. Pour plus d'informations, voir gMSA.

Dans l'outil d'administration Gatekeeper, sélectionnez Identité Windows.
Dans le champ Paramètres d'authentification intégrée, cliquez sur Modifier.
Dans le menu déroulant Sélectionner le protocole d'authentification, sélectionnez le protocole que vous souhaitez utiliser: NTLM ou Kerberos.

Remarque

Il n'est pas recommandé d'utiliser le protocole NTLM. NTLM est un protocole hérité qui offre moins de sécurité. Veuillez envisager d'utiliser le protocole Kerberos à la place.
Cliquez sur OK.
Ajoutez l'URL d'authentification intégrée à l'Intranet local dans les Options Internet pour chaque client.

Remarque

Cela peut être fait en ajoutant l'URL à la liste des sites de confiance dans le Panneau de configuration Windows > Options Internet > Onglet Sécurité > Intranet local > Site, puis ajoutez l'URL. Cela peut également être fait via le registre. Plus d'informations sur ce dernier peuvent être trouvées ici: Moyens alternatifs pour mettre à jour les sites de confiance. Notez que le billet de blog référencé ici traite d'une URL différente, bien que le processus soit le même.

Pour plus d'informations sur l'identité Windows, veuillez consulter la page Identité Windows.