Service SAML d'authentification par connexion unique

Le langage SAML (Security Assertion Markup Language) 2.0 offre un mécanisme permettant d'échanger les données d'authentification parmi les domaines Web sécurisés. SAML 2.0 est un protocole XML, ainsi qu'une norme OASIS. Pour plus d'informations sur SAML, voir SAML Overview (Vue d'ensemble sur SAML) par OASIS.

Le service SAML d'authentification par connexion unique permet à vos utilisateurs de se connecter au serveur MOVEit à l'aide d'un fournisseur d'identité tiers pour l'authentification. Ainsi, un utilisateur qui s'est connecté à l'aide de son réseau ou de son compte d'entreprise peut accéder à MOVEit sans devoir saisir à nouveau ses informations d'identification.

Cette rubrique décrit :

• Exigences des tiers en matière de connexion unique
• Connexion unique pour l'interface Web du serveur MOVEit
• Connexion unique pour les clients Ipswitch
• Connexion unique pour les clients FTP et SSH
• Instructions pour les utilisateurs finals
• Gestion de la fin et des délais d'expiration d'une session
• Authentification automatique de la connexion unique pour les utilisateurs Windows via Internet Explorer

Exigences des tiers en matière de connexion unique

Grâce à la prise en charge de la fonctionnalité SAML 2.0, MOVEit peut utiliser un « fournisseur d'identité » tiers afin d'authentifier les utilisateurs. Un « fournisseur d'identité » est une application qui fournit des assertions d'identité via SAML, en réponse à des demandes d'authentification émanant d'un fournisseur de services. MOVEit fait office de fournisseur de services, également connu en tant que « consommateur SAML ».

MOVEit prend en charge l'authentification des éléments suivants en tant que fournisseur d'identité :

• Services ADFS Microsoft
• Shibboleth
• OneLogin

L'authentification avec ces fournisseurs d'identité a été testée et est prise en charge par Ipswitch. Les autres serveurs qui prennent en charge le protocole SAML 2.0 doivent également fonctionner avec MOVEit.

Connexion unique pour l'interface Web du serveur MOVEit

Lorsque la connexion unique est configurée pour l'interface Web MOVEit, une session utilisateur fonctionne de la façon suivante :

1. L'utilisateur accède à l'URL du serveur MOVEit à l'aide d'un navigateur.
2. Le serveur MOVEit redirige le navigateur vers un fournisseur d'identité avec une demande d'authentification.
3. Le fournisseur d'identité authentifie l'utilisateur.
4. Le fournisseur d'identité redirige le navigateur vers le serveur MOVEit avec une assertion d'authentification.
5. Le serveur MOVEit valide l'assertion et connecte l'utilisateur.
6. Si le service de déconnexion unique est configuré, lorsque l'utilisateur se déconnecte de son compte (Fournisseur d'identité) réseau, il est également déconnecté de MOVEit.

Pour configurer la connexion unique des utilisateurs se connectant à l'interface Web MOVEit Transfer, vous devez effectuer les actions suivantes :

• Assurez-vous que les exigences relatives au fournisseur d'identité sont déterminées et respectées. Reportez-vous à la documentation de votre fournisseur d’identité pour obtenir les paramètres de configuration obligatoires.

  Si vous utilisez Active Directory en guise de référentiel d'utilisateurs [configuré dans User Authentication (Authentification d'utilisateur) en tant qu'External Only (Externe uniquement)], vous pouvez alors utiliser ce même référentiel d'utilisateurs avec le fournisseur d'identité. Vous devez installer et configurer le service ADFS de sorte qu'Active Directory puisse faire office de fournisseur d'identité.

• Configurez les paramètres Service Provider/Relying Party (Fournisseur de services/Tiers de confiance) : Voir Settings - User Authentication - Single Signon (Paramètres - Authentification d'utilisateur - Connexion unique) pour obtenir des détails sur la configuration du serveur MOVEit en tant que fournisseur de services SAML.
• Configurez les paramètres du fournisseur d'identité fédéré : Voir Settings - User Authentication - Single Signon (Paramètres - Authentification d'utilisateur - Connexion unique) pour obtenir des détails sur l'ajout d'un ou plusieurs fournisseurs d'identité.

Connexion unique pour les clients Ipswitch

Lorsque la connexion unique est configurée pour le plug-in Outlook et les clients MOVEit Sync, une session utilisateur fonctionne de la façon suivante :

1. L'utilisateur envoie un fichier à l'aide du client Ad Hoc Transfer (Plug-in Outlook) ou une opération Sync est démarrée.
2. MOVEit Connecteur (sur l'ordinateur client) demande les informations SAML du serveur MOVEit.
3. Le serveur MOVEit renvoie les informations SAML, notamment l'URL du fournisseur de services et une URL du fournisseur d'identité.
4. MOVEit Connecteur utilise les informations SAML afin d'obtenir un jeton SAML du fournisseur d'identité.
5. MOVEit Connecteur envoie une demande de connexion (qui inclut le jeton SAML) au serveur MOVEit.
6. Le serveur MOVEit connecte l'utilisateur.

Pour configurer la connexion unique afin de connecter les utilisateurs à MOVEit Transfer à partir du plug-in Outlook et des clients MOVEit Sync, vous devez utiliser le service ADFS en tant que fournisseur d'identité. Les deux clients peuvent utiliser les services de connexion unique MOVEit Transfer afin d'établir une connexion à l'aide d'un compte de domaine Windows. Actuellement, seul le service ADFS prend en charge l'Authentification Windows.

En partant du principe que le fournisseur de services et le fournisseur d'identité sont configurés (voir « Connexion unique pour l'interface Web MOVEit »), le plug-in Outlook et les utilisateurs MOVEit Sync peuvent effectuer la configuration comme décrit dans la procédure suivante.

• Connexion unique à l'aide de l'authentification Windows à partir des clients Ipswitch

Si MOVEit est configuré pour la connexion unique via un fournisseur d'identité à l'aide du même contrôleur de domaine qui permet à vos utilisateurs d'effectuer l'authentification Windows, il est possible de configurer le plug-in Outlook et les clients MOVEit Sync afin de connecter automatiquement ces utilisateurs sans exiger d'informations d'identification. Pour parvenir à ce résultat, effectuez les étapes suivantes :

Remarque : Cette procédure doit être exécutée sur l'ordinateur de l'utilisateur final

1. Connectez-vous à Windows en tant qu'utilisateur sur le même contrôleur de domaine que le fournisseur d'identité MOVEit utilise pour l'authentification.

   Si vous avez installé le client au moyen d'une installation silencieuse en ayant défini au préalable les propriétés Windows Authentication (Authentification Windows) et Organization ID (ID d'organisation), l'utilisateur n'aura pas besoin de se connecter. L'utilisateur sera connecté en ouvrant une session à l'aide de son compte Windows.

2. Dans la barre d’état système, cliquez avec le bouton droit sur MOVEit Connecteur, puis sélectionnez Configuration.
3. Dans l'onglet Envoi MOVEit ou dans l'onglet Synchro MOVEit, sélectionnez l'option Use Windows Authentication (Utiliser l'authentification Windows). Au lieu d'utiliser le nom d'utilisateur et le mot de passe de cette boîte de dialogue, MOVEit Connecteur démarre une connexion SAML en demandant des informations SAML à partir de MOVEit. L'utilisateur ne doit pas saisir son nom d'utilisateur et son mot de passe ici.
4. Lorsque Use Windows Authentication (Utiliser l'authentification Windows) est sélectionné, les champs Username (Nom d'utilisateur) et Password (Mot de passe) sont masqués et Organization ID (ID d'entreprise) s'affiche. L'utilisateur doit saisir le nom de son organisation MOVEit que vous lui avez fourni, l'administrateur de l'organisation. Si l'utilisateur indique l'organisation MOVEit par défaut, il peut laisser cette option vierge.

Vous pouvez également configurer les clients Ipswitch afin qu'ils utilisent l'authentification WS-Trust, qui peut permettre aux utilisateurs de se connecter à l'aide de l'authentification Windows lorsque le service ADFS n'est pas disponible, par exemple, si l'utilisateur se connecte à partir d'un réseau domestique. Pour plus d'informations concernant la configuration de l'authentification WS-Trust, voir la section « Connexion unique pour les clients FTP et SSH ».

Connexion unique pour les clients FTP et SSH

L'authentification WS-Trust permet à MOVEit d'authentifier directement les utilisateurs à l'aide du même fournisseur d'identité utilisé pour la connexion unique avec SAML. Nous vous recommandons de configurer une source d'authentification WS-Trust, outre l'ajout aux services de connexion unique SAML destinés aux clients qui souhaitent fournir un accès FTP et SSH à MOVEit à l'aide des mêmes informations d'identification renseignées par l'utilisateur pour s'authentifier auprès de son fournisseur d'identité.

Actuellement, seul le fournisseur d'identité ADFS prend en charge WS-Trust.

Si vous êtes tenu d'utiliser WS-Trust, vous pouvez le faire en configurant les composants :

Si vous avez déjà configuré les paramètres du fournisseur de services et ajouté le service ADFS en tant que fournisseur d'identité, vous n'avez pas besoin de recommencer cette configuration.

• Configurez les paramètres Service Provider/Relying Party (Fournisseur de services/Tiers de confiance) : Voir Settings - User Authentication - Single Signon (Paramètres - Authentification d'utilisateur - Connexion unique) pour obtenir des détails sur la configuration du serveur MOVEit en tant que fournisseur de services SAML.
• Configurez le fournisseur d'identité fédéré : Voir Settings - User Authentication - Single Signon (Paramètres - Authentification d'utilisateur - Connexion unique) pour obtenir des détails sur l'ajout d'un ou plusieurs fournisseurs d'identité.
• Configurez l'authentification externe - WS-Trust : voir Settings - Service Integration - WS-Trust (Paramètres - Intégration de service - WS-Trust) pour obtenir des détails sur la configuration de la méthode d'authentification externe.

Instructions pour les utilisateurs finals

Une fois que vous avez configuré les composants de connexion unique, vous devez fournir les informations suivantes à vos utilisateurs finals.

• Pour vous connecter à partir d'un navigateur Web, fournissez Direct Signon URL (URL de connexion directe) [affichée sur la page Single Signon (Connexion unique)].
• Pour vous connecter à partir du plug-in Outlook ou des clients Sync, invitez vos utilisateurs à sélectionner l'option Windows Authentication (Authentification Windows) dans les options de configuration (sur l'ordinateur client, cliquez avec le bouton droit sur MOVEit Connecteur (dans la barre d’état système), puis sélectionnez Configuration. Dans l'onglet Envoi MOVEit ou dans l'onglet Synchro MOVEit, sélectionnez l'option Windows Authentication (Authentification Windows). Au lieu d'utiliser le nom d'utilisateur et le mot de passe de cette boîte de dialogue, MOVEit Connecteur démarre une connexion SAML en demandant des informations SAML à partir de MOVEit.
• Service Single Logout (Service de déconnexion unique) : si ce service est activé, lorsque l'utilisateur se déconnecte de son compte de fournisseur d'identité, il est également déconnecté des sessions MOVEit.

Gestion de la fin et des délais d'expiration d'une session

• Fin de session du serveur MOVEit : en tant qu'utilisateur authentifié SAML, si un administrateur termine manuellement votre session de serveur MOVEit, un drapeau est défini pour cet utilisateur. Si cet utilisateur accède à une page du serveur MOVEit qui nécessite une session active, l'utilisateur sera redirigé vers la page de connexion du serveur MOVEit. L'utilisateur est également notifié de la fin de la session.
• Si la session du serveur MOVEit est interrompue en raison d'une expiration, ou si le fournisseur d'identité est interrompu en raison de l'expiration de la session, de la déconnexion de l'utilisateur ou de la fin de la session par l'administrateur, le navigateur peut gérer la nouvelle séquence d'authentification ultérieure. Certains navigateurs peuvent authentifier à nouveau des utilisateurs au sein d'une même session de navigateur sans devoir saisir à nouveau leurs informations d'identification. Pour éviter que le navigateur procède à cette nouvelle authentification « silencieuse », l'utilisateur doit fermer le navigateur après sa déconnexion du serveur MOVEit.

  Si vous utilisez le fournisseur d'identité ADFS et que vous souhaitez éviter que le navigateur procède à cette nouvelle authentification silencieuse, vous pouvez configurer la connexion fondée sur un formulaire HTML. Pour plus d'informations, reportez-vous à la procédure suivante.

• Connexion fondée sur un formulaire HTML pour ADFS

En fonction de la configuration du fournisseur d'identité, de nombreux navigateurs authentifieront silencieusement à nouveau l'utilisateur au lancement de la session suivante, ce qui correspond à un comportement adapté. Toutefois, si vous souhaitez que les utilisateurs saisissent à nouveau leur mot de passe après avoir procédé à leur déconnexion SAML, vous pouvez configurer la connexion fondée sur un formulaire HTML. Cette procédure décrit comment configurer une connexion fondée sur un formulaire pour ADFS.

1. Ouvrez le fichier web.config de l'application Web ADFS (par défaut, C:\inetpub\adfs\ls\web.config) dans un éditeur de texte.
2. Identifiez l'emplacement de l'élément microsoft.identityServer.web localAuthenticationTypes.
3. Déplacez l'élément enfant de l'élément localAuthenticationTypes portant le nom « Forms » (Formulaires) en haut de la liste des éléments enfant.
4. Enregistrez le fichier web.config et redémarrez le service ADFS.

• Connexion unique à l'aide de l'authentification Windows à partir d'Internet Explorer

Si MOVEit est configuré pour la connexion unique via un fournisseur d'identité à l'aide du même contrôleur de domaine qui permet à vos utilisateurs d'effectuer l'authentification Windows, il est possible de configurer Internet Explorer afin de connecter automatiquement ces utilisateurs sans exiger d'informations d'identification. Pour parvenir à ce résultat, effectuez les étapes suivantes :

Remarque : Cette procédure doit être exécutée sur l'ordinateur de l'utilisateur final.

1. Connectez-vous à Windows en tant qu'utilisateur sur le même contrôleur de domaine que le fournisseur d'identité MOVEit utilise pour l'authentification.
2. Ouvrez Internet Explorer.
3. Accédez à Internet Options (Options Internet) > Security (Sécurité), sélectionnez Local intranet (Intranet local), puis cliquez sur Sites. La boîte de dialogue Local intranet (Intranet local) s'affiche. Cliquez sur Advanced (Avancé).
4. Ajoutez l'URL du fournisseur d'identité de base en tant que site de confiance. Cette URL correspond à l'emplacement vers lequel vous êtes redirigé lors de l'authentification SAML. À titre d'exemple, une URL ADFS peut ressembler à cela : https://adfs.mycompany.internal
5. Fermez les options Internet.
6. Accédez à la page de connexion MOVEit et essayez de procéder à une authentification SAML.

   Vous devez automatiquement vous connecter à MOVEit à l'aide de votre compte Windows sans être invité à saisir vos informations d'identification.