Specops Authentication Web

Le Specops Authentication Web peut être utilisé pour afficher les informations système et gérer divers aspects du produit, y compris les configurations à l'échelle du système et les politiques d'authentification multi-facteurs pour ses différentes ressources. Une fois que vous avez installé et configuré le Gatekeeper, les utilisateurs qui sont membres du groupe d'administration de l'authentification peuvent configurer davantage la solution depuis le Specops Authentication Web :

Centre de données US : https://login.specopssoft.com/authentication/admin
Centre de données UE : https://eu.login.specopssoft.com/authentication/admin

Pour plus d'informations et une administration générale, consultez Specops Authentication Web.

Les étapes de configuration spécifiques pour Specops Secure Service Desk sont décrites ci-dessous.

Remarque

Remarque sur les numéros de téléphone dans Active Directory

Important : pour que la messagerie texte fonctionne correctement dans le Service Desk, le numéro de téléphone mobile enregistré dans Active Directory doit suivre le format du plan de numérotation E.164. Cela signifie que les numéros de téléphone mobile doivent avoir le format suivant : +[code_pays][numéro_abonné_sans_le_premier_zéro]. Par exemple, pour le numéro de téléphone suédois (code pays 46) 073-3123456, le numéro dans AD devrait être +46733123456 ; pour le numéro de téléphone américain (code pays 1) 415 555 2671, le format dans AD devrait être +14155552671.

Remarque : enregistrer des numéros de téléphone dans Active Directory en utilisant un autre format entraînera l'incapacité de l'agent du Specops Service Desk à envoyer des messages texte à l'utilisateur en question.

Rôles des agents du Secure Service Desk

Il existe deux types distincts d'agents du Secure Service Desk : Specops Service Desk Agent et Specops Service Desk User Verifier. Ces deux types d'agents ont chacun un ensemble différent de permissions :

Specops Service Desk Agent a les permissions pour effectuer toutes les actions dans le Secure Service Desk.

Specops Service Desk User Verifier peut effectuer les actions suivantes :

Vérifier l'identité (à la fois vérification rapide et avancée)
Voir les inscriptions des utilisateurs
Envoyer des liens d'inscription aux utilisateurs

Configurer une politique d'accès au Secure Service Desk

Pour plus de sécurité, vous pouvez configurer des politiques d'authentification multi-facteurs pour les utilisateurs (généralement les agents du Specops Service Desk) accédant au service desk.

Connectez-vous au Specops Authentication Web et cliquez sur Service Desk dans la navigation de gauche.
Cliquez sur Configurer pour configurer la politique.
Cliquez sur l'icône plus pour les services d'identité que vous souhaitez inclure dans la politique.
Cliquez sur Enregistrer.

Configuration des paramètres pour le Secure Service Desk

Sur la page Paramètres, vous pouvez configurer les éléments suivants :

Vérification de l'identité
URL de remplacement de la vérification
Options de réinitialisation du mot de passe
Options de confidentialité des utilisateurs
Options de récupération de clé
Options d'inscription

Vérification de l'identité

Forcer la vérification de l'identité

Si ce paramètre est activé, le mot de passe de l'utilisateur ne peut pas être réinitialisé, ni son ordinateur déverrouillé par le service desk, tant que l'identité de l'utilisateur n'a pas été vérifiée en lui demandant de s'authentifier avec l'un des services d'identité auxquels il s'est déjà inscrit.

Cliquez sur Service Desk dans la navigation de gauche.
Cliquez sur le bouton Paramètres pour configurer les paramètres.
Cliquez sur la section Vérification de l'identité.
Cochez la case Imposer la vérification de l'identité, et cliquez sur Enregistrer.

Remarque

Lorsque les utilisateurs ont des tokens matériels RSA avec PIN, RSA sera l'option de vérification avancée requise.

Configurer les méthodes de vérification activées

Par défaut, toutes les méthodes de vérification disponibles (et futures) sont activées dans le Service Desk. Si vous souhaitez contrôler quelles méthodes de vérification peuvent être utilisées dans le Service Desk, vous pouvez le faire ici.

Remarque

Rappelez-vous que lorsque ce paramètre est activé, les nouvelles méthodes de vérification introduites doivent être activées via ces paramètres avant de pouvoir être utilisées dans le Service Desk.

Cliquez sur Service Desk dans la navigation de gauche.
Cliquez sur le bouton Paramètres pour configurer les paramètres.
Cliquez sur la section Vérification de l'identité.
Cliquez sur le bouton Configurer les méthodes de vérification activées.
Cochez la case Utiliser uniquement les méthodes de vérification explicitement activées.
Activez ou désactivez les méthodes de vérification de votre choix en cliquant sur leur bouton d'état.

URL de remplacement de la vérification

Ici, vous pouvez entrer une URL de remplacement de la vérification qui sera montrée à un agent du Service Desk lorsque l'URL de vérification ne peut pas être envoyée directement à l'utilisateur. L'agent du service desk peut alors lire l'URL à l'utilisateur. Pour plus d'informations sur cette fonctionnalité et sa configuration, consultez la page URL de remplacement.

Options de réinitialisation du mot de passe

Les options suivantes peuvent être activées dans les paramètres de réinitialisation du mot de passe :

Obliger les utilisateurs à changer de mot de passe après une réinitialisation

Remarque

Si cette option est activée, les agents du Service Desk ne peuvent pas saisir manuellement les mots de passe pour les réinitialisations. Le nouveau mot de passe sera envoyé à l'utilisateur par email ou message texte.
Autoriser le remplacement manuel du mot de passe (pour remplacer les mots de passe générés par le système si l'option Mots de passe générés par le système a été activée)
Autoriser uniquement les mots de passe générés par le système (pour activer la génération de mots de passe par le système ; l'agent du Specops Service Desk ne pourra pas lire le mot de passe généré)
Notifications (voir la section Activation de méthodes de notification supplémentaires ci-dessous)

Activation de méthodes de notification supplémentaires

Cette section permet de configurer les possibilités de notification pour l'agent du Specops Service Desk. En plus de l'email et du téléphone mobile de l'utilisateur, plusieurs méthodes de notification supplémentaires peuvent être activées. Cela est particulièrement utile si l'email et le numéro de mobile de l'utilisateur n'ont pas été configurés dans Active Directory. Les paramètres suivants peuvent être activés :

Activer l'envoi de nouveaux mots de passe par e-mail ou par SMS : lorsque cette option est cochée, les méthodes de notification par email et texte sont disponibles pour l'agent du Specops Service Desk (à condition que les attributs de l'utilisateur soient correctement configurés dans Active Directory)
Vers un e-mail personnalisé : permet d'envoyer des emails de notification à des adresses email autres que celles enregistrées dans Active Directory.
Au gestionnaire : permet d'envoyer des notifications au manager de l'utilisateur (email et message texte, si correctement configurés dans Active Directory)
Sélectionnez Service Desk dans la navigation de gauche.
Cliquez sur l'onglet Paramètres.
Développez Options de réinitialisation du mot de passe.
Cochez Activer l’envoi de nouveaux mots de passe aux gestionnaires pour activer l'envoi à un manager.
Cochez Activer l'envoi de nouveaux mots de passe à des adresses e-mail personnalisées pour activer l'envoi à des emails personnalisés.

Remarque

Cette option n'est pas disponible si l'option Mots de passe générés par le système a été activée. Il s'agit d'une précaution de sécurité pour éviter que l'agent du Specops Service Desk puisse lire le mot de passe généré.
Cliquez sur Enregistrer

Options de confidentialité des utilisateurs

Ces options peuvent être utilisées pour restreindre l'accès des agents du Specops Service Desk à certaines informations utilisateur. Les options suivantes sont disponibles :

Numéro partiel : permet d'afficher, de masquer ou d'afficher uniquement une partie du numéro de téléphone de l'utilisateur pour l'agent du Specops Service Desk.
Afficher/Masquer (email) : permet d'afficher ou de masquer l'adresse email de l'utilisateur pour l'agent du service desk.

Masquer le numéro de téléphone et/ou l'adresse email d'un utilisateur

Sélectionnez Service Desk dans la navigation de gauche.
Cliquez sur l'onglet Paramètres.
Développez les options Options de confidentialité des utilisateurs.
Réglez le premier menu déroulant sur Masquer pour masquer le numéro de téléphone de l'utilisateur de la vue de l'agent du service desk. Notez qu'il est également possible de montrer une partie du numéro de téléphone à l'agent du service desk.
Réglez le second menu déroulant sur Masquer pour masquer l'email de l'utilisateur de la vue de l'agent du service desk.
Cliquez sur Enregistrer

Options de récupération de clé

Cette section vous permet de configurer des notifications supplémentaires pour les opérations de récupération de clé :

Activer l'envoi de la clé de récupération aux gestionnaires : permet d'envoyer la clé de récupération au manager de l'utilisateur si elle est correctement configurée dans Active Directory.
Activer l'envoi de la clé de récupération à des adresses e-mail personnalisées : permet d'envoyer la clé de récupération à des emails autres que ceux associés à l'utilisateur dans Active Directory. Les emails personnalisés doivent être dans les domaines enregistrés.

Options d'inscription

Ici, vous pouvez configurer si les agents du Specops Service Desk peuvent inscrire des utilisateurs pour certains services d'identité sans intervention de l'utilisateur. Cette fonctionnalité ne peut être utilisée que lorsque l'utilisateur a été vérifié. Pour plus d'informations sur cette fonctionnalité, veuillez consulter la section Inscription sur la page de personnalisation.

Configurer l'ajout d'inscription

Allez à Service Desk sécurisé > Paramètres
Ouvrez Options d’enregistrement
Cochez l'option Autoriser l'agent du Service Desk à inscrire des utilisateurs
Assurez-vous que les services d'identité sont correctement configurés pour permettre l'ajout d'inscriptions.
Remarque

Le paramètre Mettre à jour le numéro de mobile dans AD doit être réglé sur l'une des options suivantes :
- Toujours
- Si le numéro est manquant dans Active Directory
- Stocker dans le sous-objet utilisateur (chiffré)
Notez également que si le paramètre est réglé sur Si le numéro est manquant dans Active Directory et que le numéro est déjà présent dans Active Directory, la fonctionnalité d'ajout d'inscription ne fonctionnera pas.

Dépannage de l'ajout d'inscription

Si le bouton Ajouter une inscription est inaccessible, les administrateurs doivent vérifier les éléments suivants :

Vérifiez que Ajouter une inscription est activé dans les paramètres du Secure Service Desk (Options d'inscription).
Vérifiez que les services d'identité Code mobile (SMS) et/ou Adresse e-mail personnelle sont activés.
Vérifiez que les paramètres pour le service d'identité Code mobile (SMS) permettent d'ajouter le numéro de mobile de l'utilisateur à AD.

Remarque

La fonctionnalité ne sera également pas disponible si le paramètre Mettre à jour le numéro de mobile dans AD est réglé sur Si le numéro est manquant dans Active Directory et qu'il y a déjà un numéro présent dans AD.

Options de langue

Les options de langue vous permettent de définir la langue préférée pour les emails et les sms envoyés depuis le Secure Service Desk.

Allez à Service Desk sécurisé > Paramètres.
Ouvrez Options de langue.
Cochez la case marquée Utiliser la langue préférée.
Dans le menu déroulant de langue, sélectionnez la langue que vous souhaitez utiliser comme langue préférée.
Cliquez sur Enregistrer

Personnalisation des emails et des textes pour l'identification du manager

L'une des options de vérification rapide est de faire identifier l'utilisateur par son manager. Cela se fait en envoyant un lien de vérification au manager de l'utilisateur par message texte ou email. Ces messages peuvent être personnalisés dans le service d'identité d'identification du manager.

Cliquez sur Services d’identité dans la navigation de gauche
Cliquez sur Identification du gestionnaire
Sélectionnez l'onglet Configuration du Service Desk en haut
Entrez les textes de Objet et de Corps du message
Remarque

Dans les champs Objet ainsi que Corps, des textes de remplacement peuvent être utilisés. Les remplacements suivants sont disponibles :
- %UserDisplayName% : insère le nom d'affichage de l'utilisateur qui doit être identifié
- %UserUPN% : insère l'UPN de l'utilisateur depuis Active Directory
- %ManagerVerificationUrl% : insère l'URL de vérification que le manager peut cliquer pour vérifier l'utilisateur
- %ManagerDisplayName% : insère le nom d'affichage du manager
- %ServiceDeskUserDisplayName% : insère le nom d'affichage de l'agent du service desk envoyant le message
Cochez la case Activé pour activer le message

Remarque

Pour désactiver (temporairement) le message personnalisé, retirez la coche de cette case.
Cliquez sur Enregistrer