Authentification unique à l'aide de SAML

Grâce à la prise en charge de la fonctionnalité SAML 2.0, vous pouvez personnaliser MOVEit pour utiliser un « fournisseur d'identité » tiers dans le but d'authentifier les utilisateurs MOVEit. Un « fournisseur d'identité » est une application qui fournit des confirmations d'identité par l'intermédiaire de SAML et en réponse à des demandes d'authentification émanant d'un fournisseur de services. MOVEit agit en tant que fournisseur de services. Dans ce modèle de déploiement, MOVEit peut être appelé « consommateur SAML ».

Le langage SAML (Security Assertion Markup Language) 2.0 offre un mécanisme permettant d'échanger les données d'authentification parmi les domaines Web sécurisés. SAML 2.0 est un protocole XML, ainsi qu'une norme OASIS. Pour plus d'informations sur SAML, voir SAML Overview (Vue d'ensemble sur SAML) par OASIS.

Le service d'authentification unique SAML permet aux utilisateurs de se connecter à MOVEit à l'aide d'un fournisseur d'identité tiers. Cela permet aux utilisateurs connectés à leur réseau ou à leur compte d'entreprise d'accéder à MOVEit sans avoir à saisir d'autres informations d'identification spécifiques à MOVEit.

MOVEit prend en charge l'authentification des éléments suivants en tant que fournisseur d'identité :

• Shibboleth
• OneLogin
• Services de fédération Windows Server Active Directory (AD FS). (Remarque : Microsoft fait référence aux premières versions sous le nom « ADFS »)

Nous avons testé Windows Server 2019 AD FS (parfois appelé « ADFS 5.0 ») et Windows Server 2016 AD FS (parfois appelé « ADFS 4.0 ») avec MOVEit Transfer.

L'authentification avec ces fournisseurs d'identité a été testée et est prise en charge. Les autres fournisseurs d'identité non répertoriés ici et qui prennent en charge le protocole SAML 2.0 doivent également fonctionner avec MOVEit.

Authentification unique pour MOVEit Desktop, Mobile Client et l'interface utilisateur WEB de MOVEit

Lorsque l'authentification unique est disponible, une session utilisateur fonctionne de la manière suivante :

1. L'utilisateur accède à l'URL du serveur MOVEit à l'aide d'un navigateur.

   Si l'utilisateur n'est pas déjà connecté, une page de connexion affiche l'option permettant d'utiliser l'authentification unique.

   

2. L'utilisateur doit cliquer sur le lien de connexion SSO.
   • IdP unique. L'utilisateur accède alors à la page de connexion de son fournisseur d'identité.
   • Deux IdP ou plus. Le page du fournisseur d'identité actuel (IdP) ou la liste des fournisseurs d'identité s'affiche.

     

3. L'utilisateur doit choisir un fournisseur d'identité (tel que les services fédérés Active Directory) qui permet d'authentifier l'utilisateur.

   Le fournisseur d'identité redirige le navigateur vers le serveur MOVEit avec une confirmation d'authentification.

   Le serveur MOVEit valide la confirmation et connecte l'utilisateur.

4. Si le service de déconnexion unique est configuré, lorsque l'utilisateur se déconnecte de son compte (Fournisseur d'identité) réseau, il est également déconnecté de MOVEit.

Pour configurer authentification unique des utilisateurs se connectant à l'interface Web MOVEit Transfer, vous devez effectuer les actions suivantes :

• Assurez-vous que les exigences relatives au fournisseur d'identité sont déterminées et respectées. Reportez-vous à la documentation de votre fournisseur d’identité pour obtenir les paramètres de configuration obligatoires.

  Remarque : Si vous utilisez Active Directory en guise de référentiel d'utilisateurs [configuré dans User Authentication (Authentification d'utilisateur) en tant qu'External Only (Externe uniquement)], vous pouvez alors utiliser ce même référentiel d'utilisateurs avec le fournisseur d'identité. Vous devez installer et configurer le service ADFS de sorte qu'Active Directory puisse faire office de fournisseur d'identité.

• Configurez les paramètres Service Provider/Relying Party (Fournisseur de services/Tiers de confiance) : Voir Paramètres - Authentification d'utilisateur - Authentification unique pour obtenir des détails sur la configuration du serveur MOVEit en tant que fournisseur de services SAML.
• Configurez les paramètres du fournisseur d'identité fédéré : Voir Paramètres - Authentification d'utilisateur - Authentification unique pour obtenir des détails sur l'ajout d'un ou plusieurs fournisseurs d'identité.

Authentification unique pour les clients MOVEit Transfer Outlook et de synchronisation

Lorsque l'authentification unique est configurée pour le plug-in Outlook et les clients MOVEit Sync, une session utilisateur fonctionne de la façon suivante :

1. L'utilisateur envoie un fichier à l'aide du client Ad Hoc Transfer (plug-in Outlook) ou une opération Sync est démarrée.
2. MOVEit Connecteur (sur l'ordinateur client) demande les informations SAML du serveur MOVEit.
3. Le serveur MOVEit renvoie les informations SAML, notamment l'URL du fournisseur de services et une URL du fournisseur d'identité.
4. MOVEit Connecteur utilise les informations SAML afin d'obtenir un jeton SAML du fournisseur d'identité.
5. MOVEit Connector envoie une demande d'authentification (qui inclut le jeton SAML) au serveur MOVEit.
6. Le serveur MOVEit connecte l'utilisateur.

Pour configurer l'authentification unique afin de connecter les utilisateurs à MOVEit Transfer à partir du plug-in Outlook et des clients MOVEit Sync, vous devez utiliser le service ADFS en tant que fournisseur d'identité. Les deux clients peuvent utiliser les services d'authentification unique MOVEit Transfer afin d'établir une connexion à l'aide d'un compte de domaine Windows. Actuellement, seul le service ADFS prend en charge l'Authentification Windows.

En partant du principe que le fournisseur de services et le fournisseur d'identité sont configurés (voir « Connexion unique pour l'interface Web MOVEit »), le plug-in Outlook et les utilisateurs MOVEit Sync peuvent effectuer la configuration comme décrit dans la procédure suivante.

• Connexion unique à l'aide de l'authentification Windows à partir de clients MOVEit Transfer

Si MOVEit est configuré pour l'authentification unique via un fournisseur d'identité à l'aide du même contrôleur de domaine qui permet à vos utilisateurs d'effectuer l'authentification Windows, il est possible de configurer le plug-in Outlook et les clients MOVEit Sync afin de connecter automatiquement ces utilisateurs sans exiger d'informations d'identification. Pour parvenir à ce résultat, effectuez les étapes suivantes :

Remarque : Cette procédure doit être exécutée sur l'ordinateur de l'utilisateur final.

1. Connectez-vous à Windows en tant qu'utilisateur sur le même contrôleur de domaine que le fournisseur d'identité MOVEit utilise pour l'authentification.

   Remarque : Si vous avez installé le client au moyen d'une installation silencieuse en ayant défini au préalable les propriétés Authentification Windows et ID d'organisation, l'utilisateur n'a pas besoin de se connecter. L'utilisateur sera connecté en ouvrant une session à l'aide de son compte Windows.

2. Dans la barre d’état système, cliquez avec le bouton droit sur MOVEit Connecteur, puis sélectionnez Configuration.
3. Dans l'onglet Envoi MOVEit ou dans l'onglet Synchro MOVEit, sélectionnez l'option Use Windows Authentication (Utiliser l'authentification Windows). Au lieu d'utiliser le nom d'utilisateur et le mot de passe de cette boîte de dialogue, MOVEit Connector démarre une connexion SAML en demandant des informations SAML à partir de MOVEit. L'utilisateur ne doit pas saisir son nom d'utilisateur et son mot de passe ici.
4. Lorsque Use Windows Authentication (Utiliser l'authentification Windows) est sélectionné, les champs Username (Nom d'utilisateur) et Password (Mot de passe) sont masqués et Organization ID (ID d'entreprise) s'affiche. L'utilisateur doit saisir le nom de son organisation MOVEit que vous lui avez fourni, l'administrateur de l'organisation. Si l'utilisateur indique l'organisation MOVEit par défaut, il peut laisser cette option vierge.

Remarque : Vous pouvez également configurer les clients MOVEit Transfer (Sync, MOVEit Ad Hoc, etc.) afin qu'ils utilisent l'authentification WS-Trust, qui peut permettre aux utilisateurs de se connecter à l'aide de l'authentification Windows lorsque le service ADFS n'est pas disponible. Par exemple, si l'utilisateur se connecte à partir d'un réseau domestique. Pour plus d'informations concernant la configuration de l'authentification WS-Trust, voir la section « Authentification unique pour les clients FTP et SSH ».

Authentification unique pour les clients FTP et SSH

L'authentification WS-Trust permet à MOVEit d'authentifier directement les utilisateurs à l'aide du même fournisseur d'identité utilisé pour l'authentification unique avec SAML. Nous vous recommandons de configurer une source d'authentification WS-Trust, outre l'ajout aux services de connexion unique SAML destinés aux clients qui souhaitent fournir un accès FTP et SSH à MOVEit à l'aide des mêmes informations d'identification renseignées par l'utilisateur pour s'authentifier auprès de son fournisseur d'identité.

Actuellement, seul le fournisseur d'identité ADFS prend en charge WS-Trust.

Si vous êtes tenu d'utiliser WS-Trust, vous pouvez le faire en configurant les composants :

Remarque : Si vous avez déjà configuré les paramètres du fournisseur de services et ajouté le service ADFS en tant que fournisseur d'identité, vous n'avez pas besoin de recommencer cette configuration.

• Configurez les paramètres Service Provider/Relying Party (Fournisseur de services/Tiers de confiance) : Voir Paramètres - Authentification d'utilisateur - Authentification unique pour obtenir des détails sur la configuration du serveur MOVEit en tant que fournisseur de services SAML.
• Configurez le fournisseur d'identité fédéré : Voir Paramètres - Authentification d'utilisateur - Authentification unique pour obtenir des détails sur l'ajout d'un ou plusieurs fournisseurs d'identité.
• Configurez l'authentification externe - WS-Trust : voir Settings - Service Integration - WS-Trust (Paramètres - Intégration de service - WS-Trust) pour obtenir des détails sur la configuration de la méthode d'authentification externe.

Informations de connexion et paramètres nécessaires pour les utilisateurs finaux

Une fois que vous avez configuré les composants d'authentification unique, vous devez fournir les informations suivantes à vos utilisateurs finaux.

• Connexion au navigateur Web. Fournissez l'URL de connexion directe (affichée sur la page d'authentification unique).
• Plug-in Outlook ou connexion du client Sync. Demandez aux utilisateurs finaux de sélectionner l'option Authentification Windows dans les options de configuration (sur l'ordinateur client, cliquez avec le bouton droit de la souris sur MOVEit Connector (dans la barre d'état système), puis sélectionnez Configuration. Dans l'onglet Envoi MOVEit ou dans l'onglet Synchro MOVEit, sélectionnez l'option Windows Authentication (Authentification Windows). Au lieu d'utiliser le nom d'utilisateur et le mot de passe de cette boîte de dialogue, MOVEit Connector démarre une connexion SAML en demandant des informations SAML à partir de MOVEit.
• Service Single Logout (Service de déconnexion unique). si ce service est activé, lorsque l'utilisateur se déconnecte de son compte de fournisseur d'identité, il est également déconnecté des sessions MOVEit.

Gestion de la fin et des délais d'expiration d'une session

• Fin de session du serveur MOVEit : en tant qu'utilisateur authentifié SAML, si un administrateur termine manuellement votre session de serveur MOVEit, un drapeau est défini pour cet utilisateur. Si cet utilisateur accède à une page du serveur MOVEit qui nécessite une session active, l'utilisateur sera redirigé vers la page de connexion du serveur MOVEit. L'utilisateur est également notifié de la fin de la session.
• Si la session du serveur MOVEit est interrompue en raison d'une expiration, ou si le fournisseur d'identité est interrompu en raison de l'expiration de la session, de la déconnexion de l'utilisateur ou de la fin de la session par l'administrateur, le navigateur peut gérer la nouvelle séquence d'authentification ultérieure. Certains navigateurs peuvent authentifier à nouveau des utilisateurs au sein d'une même session de navigateur sans devoir saisir à nouveau leurs informations d'identification. Pour éviter que le navigateur procède à cette nouvelle authentification « silencieuse », l'utilisateur doit fermer le navigateur après sa déconnexion du serveur MOVEit.

  Remarque : Si vous utilisez le fournisseur d'identité ADFS et que vous souhaitez éviter que le navigateur procède à cette nouvelle authentification silencieuse, vous pouvez configurer la connexion fondée sur un formulaire HTML. Pour plus d'informations, reportez-vous à la procédure suivante.

• Connexion par formulaire HTML pour les services de fédération Active Directory

En fonction de la configuration du fournisseur d'identité, de nombreux navigateurs authentifieront silencieusement à nouveau l'utilisateur au lancement de la session suivante, ce qui correspond à un comportement adapté. Toutefois, si vous souhaitez que les utilisateurs saisissent à nouveau leur mot de passe après avoir procédé à leur déconnexion SAML, vous pouvez configurer la connexion fondée sur un formulaire HTML. Cette procédure décrit comment configurer une connexion fondée sur un formulaire pour ADFS.

1. Ouvrez le fichier web.config de l'application Web ADFS (par défaut, C:\inetpub\adfs\ls\web.config) dans un éditeur de texte.
2. Identifiez l'emplacement de l'élément microsoft.identityServer.web localAuthenticationTypes.
3. Déplacez l'élément enfant de l'élément localAuthenticationTypes portant le nom « Forms » (Formulaires) en haut de la liste des éléments enfant.
4. Enregistrez le fichier web.config et redémarrez le service ADFS.