Réinitialisation de mot de passe sans VPN
Lors de la réinitialisation des mots de passe, les clés de chiffrement pour l'API de protection des données de Windows (DPAPI) doivent être mises à jour afin que les utilisateurs puissent continuer à utiliser les mots de passe d'application enregistrés. Dans les scénarios où le contrôleur de domaine ne peut pas être atteint, par exemple lors du travail à distance, le navigateur sécurisé Specops peut effectuer une telle mise à jour sans avoir besoin d'un VPN. Le paramètre uReset Mots de passe d'application enregistrés dans Specops Authentication permet ce mécanisme de mise à jour.
La réinitialisation de mot de passe sans VPN avec mise à jour des informations d'identification mises en cache utilise l'API de protection des données intégrée de Microsoft. DPAPI est un composant Windows permettant le chiffrement symétrique de tout type de données. Il est souvent utilisé pour chiffrer des informations sensibles, telles que les informations d'identification de connexion. Dans ces cas, DPAPI gère les clés secrètes sans que l'utilisateur ait à saisir un mot de passe au moment du chiffrement/déchiffrement. Étant donné que les données d'application sensibles stockées dans DPAPI (identifiants de messagerie, VPN, etc.) sont liées aux informations d'identification de connexion Windows, DPAPI permet une transition transparente dans l'utilisation de ces applications chaque fois qu'une réinitialisation de mot de passe se produit.
Specops Authentication utilise DPAPI en combinaison avec le Gatekeeper pour permettre le déchiffrement chaque fois qu'une réinitialisation de mot de passe se produit lorsqu'un utilisateur n'est pas connecté au contrôleur de domaine approprié.
Fonctionnalité de réinitialisation de mot de passe sans VPN avec mise à jour des informations d'identification mises en cache
Étant donné que DPAPI est un composant Windows, les informations d'identification de connexion pour des applications telles que la messagerie, le VPN et d'autres sont automatiquement mises à jour chaque fois qu'une réinitialisation de mot de passe Windows a lieu, si l'utilisateur effectuant la réinitialisation est connecté au contrôleur de domaine (DC) correct. Une description simplifiée du processus serait la suivante:
- L'utilisateur (connecté au contrôleur de domaine correct) réinitialise le mot de passe.
- DPAPI contacte le DC et se met à jour avec les nouvelles informations de mot de passe.
- En utilisant ces informations mises à jour, les applications peuvent déchiffrer les données et peuvent continuer à être utilisées.
Cependant, chaque fois que l'utilisateur n'est pas connecté au DC lors de la réinitialisation du mot de passe, les informations de mot de passe ne peuvent pas être mises à jour, et les utilisateurs ne peuvent pas continuer à utiliser les applications à moins qu'ils ne mettent à jour manuellement les informations de mot de passe pour cette application. Cela peut entraîner une perte de données, une perte de connectivité ou une perte de service.
Avec la réinitialisation de mot de passe à distance sans VPN, cette perte de continuité est évitée en faisant agir le Gatekeeper comme intermédiaire. La même procédure de réinitialisation de mot de passe utilisant la réinitialisation de mot de passe à distance sans VPN entraînera des informations de mot de passe mises à jour en utilisant le Gatekeeper pour connecter DPAPI au contrôleur de domaine correct.
Dans ce cas, la continuité est préservée sans nécessiter d'intervention de l'utilisateur.
Exigences pour la réinitialisation de mot de passe sans VPN avec mise à jour des informations d'identification mises en cache
Remarque
La réinitialisation de mot de passe à distance sans VPN doit être activée par Specops pour votre compte.
L'environnement de votre organisation doit répondre aux exigences suivantes:
| Élément | Exigence |
|---|---|
| Gatekeeper* | Version 8.23.21278.1 ou ultérieure |
| Ordinateurs clients |
|
Remarque
*Tous les Gatekeepers associés au domaine doivent être à jour pour que la fonctionnalité fonctionne.
Paramètres de réinitialisation de mot de passe à distance sans VPN
La réinitialisation de mot de passe à distance sans VPN n'est pas activée par défaut. Pour utiliser la fonctionnalité de réinitialisation de mot de passe sans VPN avec mise à jour des informations d'identification mises en cache, vous devez l'activer.
- Dans Authentication Web, allez à uReset dans la navigation de gauche.
- Cliquez sur l'onglet Paramètres.
- Cochez la case pour Autoriser le déchiffrement des clés maîtresses DPAPI.
Configuration du SecuredBrowser
Le SecuredBrowser peut être configuré pour utiliser un proxy s'il est utilisé au sein de l'organisation. Vous pouvez configurer l'un de ces éléments (mais pas les deux):
- ProxyServerUrl (URL du serveur proxy pour le navigateur sécurisé)
- ProxyServerPacUrl (URL PAC du serveur proxy pour le navigateur sécurisé)
Ces paramètres de proxy sont administrés via le modèle ADMX.
Si un serveur proxy direct est utilisé, configurez URL du serveur proxy pour le navigateur sécurisé.
<string id="ProxyServerUrl">URL du serveur proxy pour le navigateur sécurisé</string>
<string id="ProxyServerUrlExplain">Ce paramètre permet l'utilisation d'un serveur proxy pour le navigateur sécurisé. Valeur d'exemple: "http://proxyserver:proxyport"</string>
Si la configuration automatique du proxy (PAC) est utilisée, configurez l'URL vers le serveur PAC dans URL PAC du serveur proxy pour le navigateur sécurisé.
<string id="ProxyServerPacUrl">URL PAC du serveur proxy pour le navigateur sécurisé</string>
<string id="ProxyServerPacUrlExplain">Ce paramètre permet l'utilisation d'un serveur proxy avec configuration automatique du proxy (PAC) pour le navigateur sécurisé.
Navigateur sécurisé. Valeur d'exemple: "http://proxyserver/proxy.pac"</string>
Remarque
Ne pas configurer cela signifie que les paramètres de proxy Windows sont utilisés.