External Authentication - WS-Trust (Authentication Only) (Authentification externe - WS-Trust (Authentification uniquement))

Avec la source WS-Trust (Authentication Only), vous pouvez utiliser un fournisseur d’identité externe (Microsoft ADFS) pour authentifier les utilisateurs. Les noms d’utilisateur et les mots de passe entrants sont vérifiés auprès du fournisseur d’identité. Le fournisseur d’identité doit prendre en charge le protocole WS-Trust (voir la configuration requise ci-dessous).

Grâce à la prise en charge de SAML 2.0 fournie par la fonction d'authentification unique (voir la section Présentation de la fonction d'authentification unique), les utilisateurs peuvent s’authentifier par le biais d’un fournisseur d’identité externe quand ils utilisent l’interface Web MOVEit. Ce modèle utilise le client pour faire authentifier les utilisateurs par le fournisseur d’identité, en créant une assertion SAML à « consommer » par MOVEit. Il n’est pas disponible pour les interfaces non HTTP. MOVEit prend également en charge le protocole WS-Trust, ce qui lui permet de demander directement un jeton sécurisé sous la forme d’un document d’assertion SAML 2.0, en incluant le nom d’utilisateur et le mot de passe fournis par l’utilisateur dans la demande. En supposant que le même serveur du fournisseur d’identité prend en charge les deux types d’authentification SAML et WS-Trust, les utilisateurs peuvent se servir des mêmes informations d’identification pour l'authentification unique via l’interface Web, et pour l’authentification par nom d’utilisateur/mot de passe via les clients FTP et SSH ou via les clients Windows, tels que le plug-in Ad Hoc Transfer pour Outlook et MOVEit Sync.

Exigences

Pour configurer une source d’authentification externe utilisant WS-Trust, la configuration suivante est requise :

• Un fournisseur d’identité. MOVEit prend en charge soit :
  • Services ADFS Microsoft
  • Windows Server (2016, 2019) Services de fédération Active Directory (AD FS)
• Le fournisseur d’identité doit prendre en charge le protocole WS-Trust version 1.3 et fournir au moins une liaison nom d’utilisateur/mot de passe (liaison qui accepte un jeton UsernameToken, ou l’authentification HTTP de base ou Digest).
• Le fournisseur d’identité doit se trouver sur un hôte auquel le serveur MOVEit peut accéder à l’aide du protocole HTTPS.
• Le service de jeton de sécurité permettant la communication entre MOVEit et le serveur WS-Trust doit être configuré avant de commencer à configurer la source WS-Trust. Pour la source WS-Trust, un fournisseur d’identité existant doit être configuré dans la page de paramètres de l'authentification unique MOVEit. La source d’authentification sera liée à ce fournisseur d’identité. Si aucun fournisseur d’identité n’est configuré, vous devez en ajouter et en configurer un pour pouvoir ajouter ensuite la source d’authentification WS-Trust.

  Remarque : Si vous devez ajouter un fournisseur d’identité, reportez-vous à la section « Fournisseur d’identité » dans la rubrique Authentification d’utilisateur - Authentification unique.

Configuration de la source WS-Trust

1. Vérifiez que votre système présente la configuration requise décrite dans la section ci-dessus.
2. Ajoutez la source d’authentification WS-Trust, comme expliqué dans la rubrique Authentification externe - Présentation.
3. Configurez cette méthode d’authentification pour utiliser le service de jeton de sécurité.
   1. Les fournisseurs d’identité qui prennent en charge WS-Trust fournissent un fichier ou une URL de métadonnées qui est utilisé pour configurer le service de jeton de sécurité.
      • Cliquez sur Browse (Parcourir) pour rechercher et charger le fichier de métadonnées du fournisseur, puis cliquez sur Upload Metadata File (Charger le fichier de métadonnées).

      Ou

      • Saisissez une URL pour les métadonnées du fournisseur, puis cliquez sur Download Metadata File (Télécharger le fichier de métadonnées).
   2. Cliquez sur Add New Source (Ajouter une nouvelle source) pour ajouter cette source d'authentification.

      L’entrée pour la source d’authentification WS-Trust est créée, puis ajoutée à la liste des sources dans la page Settings (Security) [Paramètres (Sécurité)].

4. Pour terminer la configuration, dans la liste des sources d’authentification, cliquez sur Edit (Modifier) à côté de votre source WS-Trust. La page Edit Authentication Source (Modifier la source d’authentification) s’affiche.
5. Vérifiez que l’option Enabled (Activé) est définie sur Yes (Oui).
6. Vérifiez que l’emplacement défini est correct pour le point de terminaison du service de jeton de sécurité.
7. Modifiez les paramètres de groupe et d’utilisateur comme vous le souhaitez.

   Ces paramètres déterminent de quelle façon les informations utilisateur sont ajoutées dans MOVEit. Par défaut, la source d’authentification est configurée pour créer automatiquement un utilisateur lors de la connexion. Pour modifier ces paramètres, cliquez sur Edit Identity Provider Settings (Modifier les paramètres du fournisseur d’identité).

   Remarque : La source d’authentification WS-Trust et le fournisseur d’identité lié ont les mêmes paramètres de groupe et d’utilisateur.

   • Les paramètres de modèle Full Name Attribute (Attribut de nom complet) et Email Attribute (Attribut d’e-mail) déterminent les valeurs à utiliser dans les champs du nom complet et de l’adresse e-mail du nouvel utilisateur, s’ils sont ajoutés au compte utilisateur MOVEit.
   • Auto Create User on Signon (Création automatique de l’utilisateur à la connexion : Par défaut, lorsqu'un nouvel utilisateur se connecte avec succès, un compte est créé dans MOVEit. Si vous voulez désactiver cette fonction, cliquez sur False (Faux).
   • Group membership behavior (Comportement de l'appartenance au groupe) : Ce paramètre détermine comment les appartenances aux groupes seront traitées. Quand cette option est définie sur Ignore Differences (Ignorer les différences), les appartenances aux groupes du fournisseur d’identité seront ignorées. Lorsqu'il est défini sur Report Differences (Rapporter les différences), les différences entre les membres du groupe MOVEit et les membres du groupe du fournisseur d'identité seront rapportées dans le journal. Lorsqu'il est défini sur Correct Differences (Corriger les différences), les différences entre les appartenances aux groupes MOVEit et les appartenances aux groupes du fournisseur d'identité seront corrigées, si cela est possible. Les groupes MOVEit ne sont PAS ajoutés automatiquement, seules les appartenances aux groupes sont ajoutées. Les groupes existants dans le fournisseur d'identité mais pas sur le serveur MOVEit seront signalés en tant qu'erreurs.
   • Group membership attribute (Attribut des appartenances aux groupes) : Effectuez un choix dans la liste des propriétés d'objet pour définir le nom du groupe, si un groupe existe sur le fournisseur d'identité.
8. Enregistrez les modifications effectuées.

   Vous êtes désormais prêt à utiliser l'authentification WS-Trust.