Outil d'administration Gatekeeper

L'outil d'administration Gatekeeper fournit un aperçu des composants installés et peut être utilisé pour gérer les paramètres de configuration système créés lors de l'installation.

Gatekeeper

Les paramètres suivants peuvent être configurés à partir de l'onglet Gatekeeper.

Mise à niveau de l'outil d'administration Gatekeeper

Pour plus d'informations sur la mise à niveau vers la dernière version de Specops Authentication, voir Upgrade.

Voir les certificats

Les certificats pour le client Gatekeeper et l'authentification backend Gatekeeper peuvent être consultés en cliquant sur le lien View.

Modifier les paramètres du proxy

Si votre organisation utilise un serveur proxy pour acheminer le trafic Internet vers l'extérieur, vous devrez configurer le serveur proxy pour permettre au Gatekeeper d'accéder à Internet. Cliquez sur Edit dans la ligne Proxy et spécifiez l'adresse comme une URL complète, y compris le protocole et tout port personnalisé.

Changer de Gatekeepers

Si vous avez plusieurs Gatekeepers, vous pouvez passer de l'un à l'autre:

Cliquez sur Change en haut à gauche.
Dans la fenêtre Select Gatekeeper, mettez en surbrillance le Gatekeeper vers lequel vous souhaitez passer.
Cliquez sur OK.

Commandes générales

En haut à droite de cet onglet, il y a une boîte avec des commandes générales. Celles-ci incluent les éléments suivants:

Actualiser: actualise les informations dans l'onglet.
Vérifier la nouvelle version de l'outil d'administration: vérifie si l'outil d'administration doit être mis à jour.
Migrer depuis SPR: ouvre l'assistant de migration pour migrer les données de Specops Password Reset.
Effacer les caches sur tous les Gatekeepers: efface tous les caches sur les Gatekeepers.

Gestion des Gatekeepers hors ligne

Afin de résoudre correctement tous les Gatekeepers disponibles, tout Gatekeeper hors ligne (non utilisé) doit être éliminé correctement. La méthode recommandée pour ce faire est via l'outil d'administration Gatekeeper.

Désenregistrement des Gatekeepers (recommandé)

Dans l'outil d'administration Gatekeeper, assurez-vous d'avoir accédé au Gatekeeper que vous souhaitez désenregistrer (pour des informations sur le changement vers d'autres Gatekeepers, voir la section Changer Gatekeeper ci-dessus).
Cliquez sur Unregister en haut à droite du champ Gatekeeper Installation.
Confirmez que vous souhaitez désenregistrer ce Gatekeeper en cliquant sur Yes dans la fenêtre Unregister Gatekeeper.

Suppression manuelle des Gatekeepers

Si, pour une raison quelconque, le Gatekeeper hors ligne (non utilisé) n'a pas été désenregistré en utilisant la méthode mentionnée ci-dessus (par exemple, parce que le serveur sur lequel il était installé n'est plus présent pour une raison quelconque), des étapes manuelles supplémentaires doivent être prises.

Remarque

Si un Gatekeeper non utilisé n'a pas été désenregistré dans l'outil d'administration Gatekeeper, les fichiers restants devront être supprimés manuellement pour que le Gatekeeper soit résolu correctement.

Supprimez le Gatekeeper du cloud
1. Accédez à Authentication Web et cliquez sur Gatekeepers.
2. Mettez en surbrillance le Gatekeeper que vous souhaitez désenregistrer dans la liste.
3. Cliquez sur Unregister Gatekeeper.
  
  Remarque
  
  Ce processus de désenregistrement n'est pas le même que celui effectué par l'outil d'administration Gatekeeper. Le processus de désenregistrement initié depuis l'outil d'administration Gatekeeper effectuera toutes les étapes nécessaires pour éliminer le Gatekeeper non utilisé et ne nécessite aucune étape manuelle.
4. Dans la fenêtre de confirmation, cliquez sur Unregister.
Supprimez le Service Connection Point (SCP) de l'Active Directory.
1. Sur le serveur où le Gatekeeper est installé, ouvrez l'outil Active Directory Users and Computers.
2. Assurez-vous que Advanced Features est activé (menu supérieur View > Advanced Features).
3. Naviguez vers System > Specops > SpecopsAuthentication > Gatekeepers.
4. Faites un clic droit sur le Gatekeeper correct et sélectionnez Delete.

Paramètres Active Directory

Les paramètres suivants peuvent être configurés à partir de l'onglet Active Directory Settings.

Modifier le champ d'application de la gestion

Le champ d'application Active Directory détermine quels utilisateurs peuvent utiliser le service Specops Authentication.

Dans l'outil d'administration Gatekeeper, cliquez sur Active Directory Settings.
Trouvez la ligne où le champ d'application actuel de l'Active Directory est affiché et cliquez sur Edit.
Sélectionnez le champ d'application Active Directory souhaité et cliquez sur Add. Plusieurs emplacements peuvent être sélectionnés si vous souhaitez plusieurs champs d'application de gestion.
Cliquez sur OK.

Activer les réinitialisations de mot de passe dans Specops Authentication

Vous pouvez activer les fonctionnalités uReset et Secure Service Desk dans Specops Authentication. Pour uReset, permettez aux utilisateurs finaux de traiter les tâches courantes liées à la gestion des mots de passe, y compris les mots de passe oubliés. Cette fonctionnalité est verrouillée sauf si vous avez uReset dans le cadre de votre abonnement. Pour Secure Service Desk, cela permet l'administration des utilisateurs dans Secure Service Desk. Cette fonctionnalité est verrouillée sauf si vous avez Secure Service Desk dans le cadre de votre abonnement.

Dans l'outil d'administration Gatekeeper, cliquez sur Active Directory Settings.
Dans la section Active Directory Settings, cliquez sur Change dans la ligne Allow password resets.
Sélectionnez l'une des options suivantes lors de l'activation de la fonctionnalité de réinitialisation de mot de passe:
- Mode de sécurité standard: Tous les utilisateurs qui sont membres du groupe Specops Authentication Service Desk Agents pourront réinitialiser les mots de passe pour d'autres utilisateurs.
- Mode de sécurité délégué: Le contrôle d'accès pour réinitialiser les mots de passe pour d'autres utilisateurs est basé sur la configuration de sécurité réelle (permission 'reset password') dans Active Directory.
Cliquez sur OK.

Ajouter/supprimer des membres aux groupes de sécurité

Vous pouvez ajouter des membres supplémentaires aux groupes Admin, User admin, Gatekeepers et Reporting Readers. Les utilisateurs qui sont membres du groupe Admin sont administrateurs du portail sur le Specops Authentication Web. Les utilisateurs qui sont membres du groupe User Admin peuvent accéder aux fonctionnalités de gestion des utilisateurs sur le Specops Authentication Web. Les utilisateurs qui sont membres du groupe Gatekeepers ont la permission de lire les informations utilisateur.

Dans l'outil d'administration Gatekeeper, cliquez sur Active Directory Settings.
Trouvez le groupe de sécurité que vous souhaitez modifier et cliquez sur Edit members.
Pour ajouter un membre, cliquez sur Add member et entrez le nom de l'utilisateur ou du groupe que vous souhaitez ajouter, puis cliquez sur OK.
Pour supprimer un membre, sélectionnez un membre dans la liste des membres du groupe et cliquez sur Remove selected member, puis cliquez sur OK.
Cliquez sur OK.

Groupe Reporting Readers

Les membres du groupe de sécurité Reporting Readers dans l'outil d'administration Gatekeeper peuvent se connecter au Specops Authentication Web pour voir les rapports. À moins qu'ils ne soient également membres d'autres groupes de sécurité, ils ne verront aucune autre section dans le Specops Authentication Web.

Remarque

Les membres de ce groupe pourront voir tous les rapports liés au compte. Vous ne pouvez pas filtrer quels rapports sont visibles ou non.

Spécifier le contrôleur de domaine préféré

Par défaut, Specops Authentication utilisera le contrôleur de domaine disponible le plus proche. Cliquez sur Change pour spécifier le contrôleur de domaine préféré.

Secure Access

Les paramètres suivants peuvent être configurés à partir de l'onglet Secure Access.

Gérer les GPOs de Secure Access

Vous pouvez taguer les GPOs que vous souhaitez utiliser avec la fonctionnalité Secure Access sur Specops Authentication. Les utilisateurs concernés s'authentifieront avec un second facteur lors de la connexion à leur compte Windows.

Dans l'outil d'administration Gatekeeper, cliquez sur Secure Access.
Cliquez sur Tag GPOs en haut de la section GPOs tagged for MFA for Windows, sélectionnez l'objet de stratégie de groupe et cliquez sur OK.

Gérer les GPOs du compagnon NPS

Vous pouvez taguer les GPOs que vous souhaitez utiliser avec la fonctionnalité NPS Companion (Radius) sur Secure Access. Les utilisateurs concernés s'authentifieront avec un second facteur lors de la connexion à leur compte Windows en utilisant l'accès à distance. Pour plus d'informations, voir cette page.

Dans l'outil d'administration Gatekeeper, cliquez sur Secure Access.
Cliquez sur Tag GPOs en haut de la section GPOs tagged for NPS Companion, sélectionnez l'objet de stratégie de groupe et cliquez sur OK.

Secure Service Desk

Les paramètres suivants peuvent être configurés à partir de l'onglet Secure Service Desk.

Groupe de sécurité administrative

Dans cette section, vous pouvez ajouter des utilisateurs autorisés à accéder au système en tant qu'agents du service desk.

Ajouter des membres

Dans l'outil d'administration Gatekeeper, cliquez sur Secure Service Desk.
Dans la section Administrative Security group, cliquez sur Edit members.
Cliquez sur Add member.
Recherchez l'utilisateur ou le groupe que vous souhaitez ajouter en utilisant la fonction Check names, puis cliquez sur OK.

Supprimer des membres

Dans l'outil d'administration Gatekeeper, cliquez sur Secure Service Desk.
Dans la section Administrative Security group, cliquez sur Edit members.
Dans la liste des membres du groupe, mettez en surbrillance l'utilisateur ou le groupe que vous souhaitez supprimer.
Cliquez sur Remove selected member.

Paramètres de recherche utilisateur

Ici, vous pouvez ajuster les paramètres utilisés pour la recherche d'utilisateurs dans Secure Service Desk. Les paramètres suivants peuvent être modifiés:

Vous pouvez configurer les paramètres de recherche suivants sur les pages de gestion des utilisateurs dans Specops Authentication Web.

Attributs de recherche: Spécifiez les attributs AD à rechercher depuis les pages de gestion des utilisateurs sur le Specops Authentication Web. Si le champ n'est pas défini, la valeur par défaut sera la résolution de nom ambigu (aNR), une consolidation de certains attributs communs sur l'objet utilisateur. Pour plus de détails sur aNR, voir Active Directory: Ambiguous Name Resolution. Pour utiliser aNR et un attribut personnalisé, vous devrez inclure aNR dans une liste d'attributs séparés par des virgules à rechercher.
Attributs de résultat supplémentaires: Spécifiez des attributs supplémentaires dans les résultats de recherche.
Limite de résultat personnalisée: Spécifiez le nombre maximum de résultats récupérés lors de la recherche d'utilisateurs.

Ajouter des attributs de recherche

Remarque

Cela est généralement laissé à la valeur par défaut, aNR (résolution de nom ambigu), qui trouvera la plupart des utilisateurs correspondant à toute entrée de recherche.

Dans la section User Search settings, cliquez sur Edit dans la ligne Search attributes.
Décochez la case Use default value.
Entrez les attributs que vous souhaitez utiliser. Séparez plusieurs attributs par des virgules.
Cliquez sur OK.

Modifier les attributs de résultat supplémentaires

Dans la section User Search settings, cliquez sur Edit dans la ligne Additional result attributes.
Cliquez sur Add attribute.
Entrez le Display name et le Attribute name pour l'attribut que vous souhaitez ajouter.
Cliquez sur OK.
Cliquez à nouveau sur OK.

Modifier la limite de résultat personnalisée

Remarque

Cela est généralement laissé à la valeur par défaut, 200.

Dans la section User Search settings, cliquez sur Edit dans la ligne Custom result limit.
Décochez la case Use default value.
Entrez la valeur que vous souhaitez utiliser.
Cliquez sur OK.

GPOs tagués pour la gestion des utilisateurs de Secure Service Desk

Ici, vous pouvez taguer des GPOs pour les activer pour Secure Service Desk. Si des GPOs sont tagués, seuls les utilisateurs associés aux GPOs tagués seront gérés dans Secure Service Desk.

Remarque

Si aucun GPO n'est tagué, tous les utilisateurs dans le champ d'application Active Directory configuré seront gérés dans Secure Service Desk.

Remarque

Le nombre de licences pour Secure Service Desk sera basé sur les GPOs tagués.

Taguer des GPOs

Dans l'outil d'administration Gatekeeper, cliquez sur Secure Service Desk.
Dans la section GPOs tagged for Secure Service Desk user management, cliquez sur Tag GPOs.
Sélectionnez le GPO que vous souhaitez taguer (Shift-clic ou CTRL-clic pour sélectionner plusieurs GPOs à la fois).
Cliquez sur OK.

Pour détacher des GPOs, cliquez sur Untag dans la ligne de tableau du GPO que vous souhaitez supprimer.

Configuration de l'email

Si vous ne souhaitez pas utiliser la configuration par défaut de Specops, qui utilise des fournisseurs tiers, tels que SendGrid, pour envoyer des notifications par email, vous pouvez configurer votre propre fournisseur SMTP dans cette section de l'outil d'administration Gatekeeper. Pour des informations sur la modification de la configuration par défaut de Specops dans Specops Authentication Web, veuillez vous référer à la page Specops Authentication Web.

Remarque

La configuration du paramètre SMTP dans l'outil d'administration Gatekeeper désactivera toute configuration dans Specops Authentication Web.

Configuration des paramètres SMTP

Les paramètres SMTP peuvent être configurés de trois manières:

En utilisant la configuration par défaut de Specops (configurée dans Specops Authentication Web)
En utilisant SMTP avec accès anonyme
En utilisant SMTP avec authentification de base

Cliquez sur Edit.
Sélectionnez le type de configuration que vous souhaitez utiliser dans le menu déroulant (accès anonyme ou authentification de base).
Entrez le domaine pour le serveur SMTP (champ requis).
Définissez le nombre maximum de connexions simultanées que le Gatekeeper utilisera lors de l'envoi d'emails.

Remarque

Chaque fois que des modifications sont apportées dans ce champ, tous les Gatekeepers concernés doivent être redémarrés.

Remarque

La valeur par défaut pour le nombre maximum de connexions simultanées est fixée à 10. Veuillez consulter la documentation de votre serveur SMTP pour savoir combien de connexions simultanées sont autorisées.
Entrez le port SMTP (par défaut est fixé au port 25).
Utilisez le menu déroulant pour définir si TLS (Transport-Level Security) doit être utilisé.

Remarque

Réglez cette option sur Yes si vous souhaitez activer le cryptage pour les mails sortants. Notez que l'activation de TLS définira automatiquement le port SMTP sur 587.

Remarque

Notez qu'un certificat SSL valide est requis pour utiliser TLS lors de l'envoi de mails SMTP.
Entrez l'adresse email de l'expéditeur (champ requis) et le nom d'affichage de l'expéditeur.
Pour l'authentification de base uniquement: entrez le nom d'utilisateur et le mot de passe SMTP.
Cliquez sur OK.
Cliquez sur OK dans la boîte de dialogue de succès et redémarrez tous les Gatekeepers si l'option Max concurrent connection a été modifiée.

Paramètres Microsoft Entra ID

Vous pouvez utiliser Microsoft Entra ID pour synchroniser lors de la réinitialisation ou du changement de mot de passe. Afin de configurer le paramètre Microsoft Entra ID dans l'outil d'administration Gatekeeper, vous devez d'abord configurer une App dans Microsoft Entra ID et lui donner les permissions correctes.

Exigences

Exigence
Client dans Microsoft Entra ID
Abonnements dans Microsoft Entra ID

Configuration d'une application dans Microsoft Entra

Connectez-vous à https://entra.microsoft.com/
Cliquez sur Microsoft Entra ID. Cela devrait vous amener au répertoire de votre organisation.
Cliquez sur App Registrations.
Cliquez sur New registration.
Entrez un nom pour l'application dans le champ Name.
En utilisant les boutons radio, sélectionnez le type de compte pris en charge (Single Tenant ou Multitenant).
Cliquez sur Register. Dans l'écran de résumé de l'application suivant, sous la section Essentials, notez (copiez) l'Application (client) ID et le Directory (tenant) ID. Ceux-ci seront utilisés pour la configuration.
Dans la navigation de gauche de l'écran de résumé de l'application, cliquez sur Certificates & Secrets.
Cliquez sur New client secret. Entrez une description et définissez une période d'expiration en utilisant le menu déroulant Expiry, puis cliquez sur Add.
Copiez et stockez le secret dans la colonne Value pour le mot de passe. Cela sera également utilisé pour la configuration.

Remarque

Lors de la configuration d'un point de synchronisation (Specops Password Sync), notez que cette valeur doit être collée dans le champ Provider password dans la configuration du point de synchronisation.
Dans la navigation de gauche (la plus à gauche) du centre d'administration Microsoft Entra ID, cliquez sur Microsoft Entra ID, puis cliquez sur Roles and administrators.
Dans la liste, cliquez sur un rôle qui sera suffisant pour réinitialiser les mots de passe.

Remarque

Pour un aperçu des rôles et de leurs permissions, veuillez consulter Travailler avec les utilisateurs dans Microsoft Graph. Notez que le rôle minimum requis pour réinitialiser les mots de passe est le rôle Password Administrator.
Cliquez sur Add assignments en haut. La barre latérale Add Assignments s'ouvrira à droite.
Dans la boîte de recherche, entrez le nom de l'application enregistrée, cliquez sur l'application dans la liste des résultats de recherche, puis cliquez sur Add en bas.

Étapes suivantes

Notez ou copiez l'Application (client) ID, le Directory (tenant) ID et le Client Secret, puis procédez à la configuration des paramètres Microsoft Entra ID dans l'outil d'administration Gatekeeper.

Configuration de l'outil d'administration Gatekeeper

Dans l'outil d'administration Gatekeeper, sélectionnez Microsoft Entra ID Settings.
Dans le champ Microsoft Entra ID Settings, cliquez sur Edit.
Entrez le Client ID (Application (client) ID).
Entrez le Tenant ID (Directory (tenant) ID).
Entrez le Client Secret (Client Secret Value).
Cliquez sur OK.
Dans la boîte de navigation de droite, cliquez sur Test connection pour voir si une connexion à Microsoft Entra ID a été établie.

Une fois la connexion établie, le Gatekeeper commencera à se synchroniser avec Microsoft Entra ID lors de la réinitialisation ou du changement de mot de passe.

Identité Windows

Cette section montre les paramètres pour l'authentification intégrée Windows. Ces paramètres peuvent également être modifiés ici.

Remarque

NTLM est un protocole hérité, qui n'est disponible que pour les anciens clients Specops. Les nouveaux clients auront le service d'identité désactivé par défaut et ne pourront choisir qu'entre Disabled ou Kerberos.

L'authentification intégrée Windows permet aux identifiants Active Directory des utilisateurs de passer par leur navigateur à un serveur web, envoyés hachés (NTLM) ou cryptés (Kerberos). Configurer l'authentification intégrée pour l'utilisateur authentifiera automatiquement l'utilisateur avec l'identité Windows et accordera le jeton d'authentification de l'identité Windows.

Activer l'authentification intégrée

Par défaut, l'authentification intégrée est désactivée pour les nouveaux clients. Si vous souhaitez utiliser l'authentification intégrée, procédez comme suit:

Remarque

Il est recommandé d'utiliser le type de compte Group Managed Service Accounts lors de l'installation des Gatekeepers. Pour plus d'informations, voir gMSA.

Dans l'outil d'administration Gatekeeper, sélectionnez Windows Identity.
Dans le champ Integrated Authentication Settings, cliquez sur Edit.
Dans le menu déroulant Select authentication protocol, sélectionnez le protocole que vous souhaitez utiliser: NTLM ou Kerberos.

Remarque

Il n'est pas recommandé d'utiliser le protocole NTLM. NTLM est un protocole hérité qui offre moins de sécurité. Veuillez envisager d'utiliser le protocole Kerberos à la place.
Cliquez sur OK.
Ajoutez l'url d'authentification intégrée à l'Intranet local dans Options Internet pour chaque client.

Remarque

Cela peut être fait en ajoutant l'URL à la liste des sites de confiance dans le Panneau de configuration Windows > Options Internet > Onglet Sécurité > Intranet local > Site, puis ajoutez l'URL. Cela peut également être fait via le registre. Plus d'informations sur ce dernier peuvent être trouvées ici: Moyens alternatifs pour mettre à jour les sites de confiance. Notez que le billet de blog référencé ici traite d'une URL différente, bien que le processus soit le même.

Pour plus d'informations sur l'identité Windows, veuillez consulter la page Identité Windows.