|
|
|
|
|
Quand la fonction d’authentification externe est activée, MOVEit Transfer peut communiquer avec le produit CA eTrust SiteMinder pour activer une connexion unique à un serveur MOVEit Transfer opérant dans un environnement SiteMinder. Cela permet aux utilisateurs de se connecter à MOVEit Transfer sans avoir à saisir leurs informations d’identification, dès lors qu’ils sont déjà authentifiés dans l’environnement SiteMinder.
Cette rubrique décrit la manière de configurer MOVEit Transfer et SiteMinder afin de permettre à MOVEit Transfer de fonctionner correctement dans un environnement intégré dans SiteMinder. Pour plus d’informations sur la configuration du serveur de règles et d'agents Web SiteMinder, reportez-vous à la documentation pour ces produits.
Remarque : La fonctionnalité d’intégration SiteMinder ainsi que ces instructions ont été développées pour SiteMinder version 6.0 SP5.
Suivez les étapes indiquées dans le guide d’installation de l’agent Web SiteMinder. Entrez les informations d’identification d’administration valides pour accéder au serveur de règles SiteMinder. Entrez un Trusted Host Name (Nom d’hôte de confiance) et un nom Host Configuration Object (Objet de configuration d'hôte) (qui doit déjà être défini sur le serveur de règles). Entrez l’adresse IP du Policy Server (Serveur de règles). Lorsque vous êtes invité à sélectionner un Virtual Site (Site virtuel) à configurer, choisissez le site que MOVEit Transfer a installé. Pour finir, saisissez un nom Agent Configuration Object (Objet de configuration d'agent) valide (vous devez l’avoir déjà défini dans le serveur de règles) et choisissez d'activer le Web Agent (Agent Web).
La configuration de MOVEit Transfer pour s’intégrer à SiteMinder se fait sur simple activation de l’option SiteMinder Integration à l’interface web. Pour obtenir cette option, il suffit de se connecter à MOVEit Transfer en tant qu’administrateur système et de sélectionner la page des paramètres SiteMinder sous Settings | System | User Authentication (Paramètre | Système | Authentification d’utilisateur). Pour obtenir des détails sur le paramètre, voir System - User Authentication (Système - Authentification utilisateur).
Après avoir activé ce paramètre, notez la valeur Shared Secret (Secret partagé) de SiteMinder. SiteMinder doit être configuré pour renvoyer cette valeur à MOVEit Transfer comme faisant partie d'un objet de réponse avant que MOVEit Transfer puisse se mettre à faire confiance aux en-têtes HTTP de SiteMinder qui ont été injectés dans une demande authentifiée et autorisée par l’Agent Web.
Meilleures pratiques : Du fait que MOVEit Transfer nécessite de prévoir plusieurs tolérances dans SiteMinder, créez un objet de configuration d'agent (« Agent Conf Object ») et un royaume (« Realm ») ou sous-royaume (« Sub-Realm ») séparé dans le serveur de règles SiteMinder pour protéger le serveur de MOVEit Transfer. Cela permet d’effectuer les changements suivants sans affecter les autres serveurs protégés.
Plusieurs des mécanismes de transfert de fichiers de MOVEit Transfer nécessitent d’effectuer des demandes à partir du serveur local qui vient de retour sur lui-même. Pour permettre à cette fonction de fonctionner correctement, l’agent Web de SiteMinder doit être configuré pour ignorer les demandes envoyées à l’ordinateur local. Selon la configuration de votre serveur, cela se fait de l’une des manières suivantes :
Une fois que l’alias a été paramétré et que SiteMinder a été configuré pour l’ignorer, changez le paramètre Machine URL à l’onglet MOVEit Transfer Config program's Paths (Chemins du programme de configuration) pour utiliser l'alias et faire en sorte que SiteMinder ignore les connexions machine.
Remarque : Si cette dernière méthode est utilisée, sachez que pour fonctionner, le programme vérificateur (« Checker ») de MOVEit Transfer doit être configuré pour tester l’URL de l’alias. Vous pouvez changer les paramètres de test pour Checker en cliquant sur Options | Configure....
Ni les clients ActiveX ni les clients de l’assistant MOVEit basé sur Java ne sont capables d’avoir accès aux cookies d’identification nécessaires de SiteMinder et de les soumettre pour faire échec à un site Web protégé par SiteMinder. Par conséquent, le module MOVEitISAPI qu’ils utilisent l’un comme l’autre pour les opérations de transfert de fichiers doivent être exemptés de la protection apportée par SiteMinder pour faire en sorte que les transferts de fichiers basés sur le navigateur avec les clients de l’assistant MOVEit fonctionnent correctement. Étant donné que, quoi qu’il en soit, ces transferts de fichiers ne peuvent être effectués que si une session MOVEit Transfer est établie, cela ne devrait pas poser de risque de sécurité pour le serveur.
Pour exempter de la protection de SiteMinder le module MOVEitISAPI, il convient de créer un sous-royaume (« Sub-Realm ») sous le royaume (« Realm ») qui protège le serveur de MOVEit Transfer. Ce sous-royaume doit comporter un filtre de ressources de moveitisapi/moveitisapi.dll et doit être marqué comme étant non protégé (« Unprotected »).
Pour faire en sorte que MOVEit Transfer puisse se fier aux en-têtes HTTP fournis par l’agent Web SiteMinder, il est nécessaire d’inclure un en-tête statique spécial qui contient la valeur du secret partagé automatiquement générée par MOVEit Transfer quand son paramètre « SiteMinder Integration » est activé. Il est possible d'ajouter cet en-tête en créant un nouvel objet de réponse sous le Domaine de stratégie qui protège le serveur de MOVEit Transfer. Le nouvel objet de réponse doit comporter un attribut statique WebAgent-HTTP-Header-Variable portant un nom variable de SM_MOVEITDMZ_SHAREDSECRET (de sorte que le nom complet de l’en-tête HTTP finit par être HTTP_SM_MOVEITDMZ_SHAREDSECRET), et une valeur variable égale à la chaîne du secret partagé de MOVEit Transfer. Une fois que l’objet de réponse a été créé, il faudra l’ajouter sous forme de réponse à la règle (« Response to the Rule ») qui couvre le serveur de MOVEit Transfer dans l’objet de Stratégie du domaine.
Dès lors qu’il est configuré pour utiliser un agent Web SiteMinder installé et fonctionnel, MOVEit Transfer cesse d'inviter les utilisateurs à indiquer leurs informations d’identification quand ils arrivent à l’interface de navigateur web de MOVEit Transfer. Le nom d’utilisateur de l’utilisateur connecté SiteMinder sera également utilisé comme nom d'utilisateur pour le compte MOVEit Transfer.
À ce titre, il n’existe pas de moyen de se connecter à MOVEit Transfer en utilisant un nom d'utilisateur différent de celui utilisé pour s’authentifier sur SiteMinder. S’il devient nécessaire (par exemple pour se connecter à titre d’administrateur sous un nom d'utilisateur différent), connectez-vous à MOVEit Transfer de la manière ordinaire (en utilisant SiteMinder), puis appliquez la chaîne de requête suivante à l’URL dans le navigateur web :
?transaction=signoff&arg12=signon
Ces paramètres de chaîne de requête instruisent MOVEit Transfer de déconnecter le compte d’utilisateur actuel et de renvoyer l’écran de connexion au navigateur. Dans l’écran de connexion, il est possible d’entrer un autre nom d’utilisateur et un autre mot de passe. MOVEit Transfer utilise le nom d'utilisateur et le mot de passe fournis pour authentifier l’utilisateur au lieu des informations actuelles de SiteMinder.