Accéder au contenu principal
Version: 17.3

Authentification

La page Authentification vous permet de configurer les mécanismes d’authentification pour les utilisateurs qui se connectent à ADOIT. Ces mécanismes peuvent être utilisés individuellement ou combinés. Vous pouvez également configurer les paramètres d’authentification pour accéder à l'API REST dans ADOIT.

La page Authentification comporte 5 sous-pages :

  • Connecteurs: Configurez les connecteurs, chacun représentant un mécanisme d’authentification dans ADOIT.

  • LDAP: Ajoutez et gérez les domaines LDAP et les paramètres généraux LDAP dans ADOIT.

  • SAML: Modifiez les paramètres de configuration globale des connecteurs SAML.

  • JWT: Créez une configuration JWT pour accéder à l'API REST dans ADOIT.

  • OAuth 2.0: Modifiez les paramètres OAuth 2.0 pour accéder à l'API REST dans ADOIT.

De plus, d’autres outils sont accessibles via le bouton Plus d’options, qui vous permet de configurer les avertissements de licence, les paramètres de sécurité et les paramètres généraux d’authentification.

Connecteurs

La page Connecteurs vous permet de créer, de modifier et de supprimer des connecteurs. Les connecteurs représentent les mécanismes d’authentification dans ADOIT. Chaque connecteur peut être utilisé individuellement ou combiné avec d’autres et peut être configuré pour utiliser le couplage LDAP afin de récupérer des données utilisateur supplémentaires à partir d’un service d’annuaire.

Affichage des connecteurs

Lorsque vous ouvrez la page Connecteurs, vous verrez une liste de tous les connecteurs et leurs détails. Les informations suivantes s’affichent :

  • Priorité: Ordre dans lequel les connecteurs sont testés lors d’une demande d’authentification. Si un utilisateur se connecte sans spécifier de connecteur ni de type, ADOIT utilisera le premier connecteur applicable dans la liste, sauf si des contraintes spécifiques sont définies.

  • Nom: Nom du connecteur.

  • Type: Le type du connecteur.

  • Connecteur activé: Indique si un connecteur est activé ou désactivé.

  • Couplage LDAP: Indique si le couplage LDAP est configuré pour ce connecteur.

  • Restrictions IP: Indique si des contraintes IP sont configurées pour ce connecteur.

Type de connecteur

Les types de connecteurs disponibles dans ADOIT sont :

  • STANDARD : Affiche la page de connexion standard où les utilisateurs peuvent entrer leur nom d’utilisateur et leur mot de passe. Prend en charge deux mécanismes d’authentification :

    • Utilisateurs standards d'ADOIT   : si le couplage LDAP n’est pas configuré, les identifiants fournis authentifient l’utilisateur directement dans la base de données.

    • Authentification LDAP : si le couplage LDAP est configuré, les identifiants fournis authentifient l’utilisateur dans le service d’annuaire configuré.

  • IDM : prend en charge l’authentification IDM, permettant aux utilisateurs de se connecter via l’authentification unique ou avec un nom d’utilisateur et un mot de passe.

  • SAML : prend en charge l’authentification SAML, permettant l’authentification unique ou la connexion avec des identifiants (nom d’utilisateur, mot de passe, certificats, etc.).

  • OIDC : prend en charge l’authentification OIDC, offrant la fonctionnalité de connexion unique (SSO).

Ajout et configuration d'un connecteur

Pour créer un connecteur :

  1. Allez dans Authentification > Connecteurs, puis cliquez sur Créer.

  2. Dans le champ ID, entrez un nom unique pour votre connecteur.

  3. Dans la liste Sélectionner le type, sélectionnez un type de connecteur.

  4. Cliquez sur Créer.

Une fois que vous avez créé le connecteur, vous pouvez commencer à travailler sur la configuration immédiatement. Suivez ces quatre étapes :

  1. Propriétés

  2. Contraintes

  3. Couplage LDAP

  4. Mappage des utilisateurs

Ces étapes sont décrites plus en détail dans les sections suivantes.

Propriétés

La première page de configuration du connecteur vous permet de définir différents paramètres en fonction du type de connecteur sélectionné.

STANDARD

Pour les connecteurs STANDARD, les paramètres suivants sont disponibles :

SAML

Pour les connecteurs SAML, les paramètres suivants sont disponibles :

  • Propriétés IDP

    • Nom de l’IDP : nom du fournisseur d’identité (IdP). Vous pouvez choisir n’importe quel nom. Ce nom sera affiché dans ADOIT et apparaît dans les logs.

    • Type de liaison : définissez le type de liaison pour la communication avec l’IdP. La valeur par défaut est « post », ce qui signifie que la communication se fait par le biais d’une soumission de formulaire HTML à l’aide de la méthode POST. S’il est défini sur « rediriger », le client contactera le fournisseur d'identité (IdP) via une redirection, sous réserve des politiques en vigueur.

    • Adresse du fournisseur d’identité (IDP) : spécifiez l’URL du fournisseur d’identité (IDP) pour l’envoi des demandes d’authentification.

    • Déchiffrement des assertions : contrôlez si le chiffrement des assertions est activé pour ce connecteur spécifique. Les options sont : « Activé », « Désactivé » ou « Non défini ».

      • S’ils ne sont pas définis, les paramètres de chiffrement d’assertion globale de la configuration SAML s’appliquent.

      • S’il est désactivé, le déchiffrement/chiffrement d'assertion sera désactivé pour ce connecteur, quels que soient les paramètres SAML globaux.

      • S’il est activé, le chiffrement d’assertion sera requis pour ce connecteur, mais il dépend également des paramètres SAML globaux, pour lesquels le chiffrement d’assertion doit être activé et correctement configuré.

      Par défaut, ce paramètre est « Non défini », ce qui signifie que les paramètres globaux de chiffrement d’assertion SAML détermineront si le chiffrement est appliqué à ce connecteur.

    • Fin de session IdP à la fin de la session du fournisseur de services : indiquez si la déconnexion d'ADOIT devrait également déclencher une déconnexion sur l’IdP. Par défaut, cette option est désactivée.

    • URL du consommateur d’assertion : indiquez l’URL où ADOIT s’attendra à recevoir le jeton d’authentification de l’IdP pour ce connecteur spécifique. Cette URL remplacera l’URL de consommateur d’assertion par défaut définie dans les paramètres SAML globaux.

      Remarque

      Le processus de configuration est identique pour les URL de consommateur d’assertion spécifiques au connecteur et par défaut. Pour plus d’informations sur les paramètres disponibles, consultez la documentation sur les paramètres SAML globaux.

    • Fichier de clé publique IDP : cliquez sur Parcourir pour télécharger le certificat de signature de jeton à partir de l’IdP. Ce champ peut être pré-rempli si vous avez déjà référencé l’URL des métadonnées IdP dans ADOIT (Consultez la section Configurer l’IdP sous Ajuster les connecteurs).

  • Revendications : enregistrez les revendications que ADOIT devrait s’attendre à recevoir de l’IdP. Les revendications sont utilisées pour transmettre des informations sur l’utilisateur (par exemple : l’adresse e-mail, le prénom et le nom).

IDM

Pour les connecteurs IDM, les paramètres suivants sont disponibles :

  • Emplacement de l’utilisateur distant : précisez comment l’utilisateur distant est identifié dans un scénario IDM. Les options sont : « méthode », « en-tête » ou « basic_auth ».

    • Si l’option « méthode » est sélectionnée, l’utilisateur distant est déterminé à l’aide de la méthode de demande de servlet getRemoteUser.

    • Si l’option « en-tête » est sélectionnée, l’utilisateur distant est extrait d’un en-tête de demande. Vous devez spécifier l’en-tête dans le champ Nom de l’en-tête qui contient le nom d’utilisateur de l’utilisateur distant.

    • Si l’option « basic_auth » est sélectionnée, l’utilisateur distant est récupéré à partir de l’en-tête Autorisation de la demande.

    Si vous le souhaitez, vous pouvez inclure des instructions de traitement pour gérer ou modifier la valeur du nom d’utilisateur pendant l’exécution.

  • Nom de l’en-tête contenant le nom d’utilisateur de l’utilisateur distant : est obligatoire si l’emplacement de l’utilisateur distant est défini sur « en-tête ». Ce champ définit le nom de l’en-tête qui contient le nom d’utilisateur de l’utilisateur distant.

  • Recadrer l’extension de domaine du nom d’utilisateur distant : déterminez s’il faut supprimer une extension de domaine (par exemple: « \@domain ») du nom d’utilisateur distant. Lorsqu’il est activé (paramètre par défaut), un nom d’utilisateur comme « user\@domain » sera raccourci en « utilisateur ».

  • Expression régulière pour remplacer les chaînes du nom d’utilisateur par une autre chaîne : définissez une règle de modification du nom d’utilisateur en remplaçant des chaînes spécifiques. La règle doit être fournie sous forme d’expression régulière.

  • Remplacement des sections du nom d’utilisateur trouvé à l’aide du champ d’expression régulière : indiquez la chaîne qui remplacera les sections du nom d’utilisateur identifié par l’expression régulière pour remplacer les chaînes du nom d’utilisateur par un autre champ de chaîne.

OIDC

Pour les connecteurs OIDC, les paramètres suivants sont disponibles :

  • Serveur d’autorisation

    • Point de terminaison d’autorisation : point de terminaison d’autorisation au niveau de l’OP.

    • Point de terminaison du jeton : point de terminaison du jeton au niveau de l’OP.

    • Émetteur : L’identifiant de l’émetteur de l’OP.

    • ID client : identificateur public d'ADOIT tel qu’enregistré auprès de l’OP.

    • Clé secrète client : mot de passe secret pour ADOIT tel qu’enregistré auprès de l’OP.

    • Mémoriser l’utilisateur : activez cette option pour enregistrer l’identifiant du dernier utilisateur utilisé et le réutiliser lors des prochaines authentifications, de sorte que ce compte utilisateur soit automatiquement sélectionné (utile en cas d’utilisation de plusieurs comptes utilisateur).

  • Revendications : enregistrez les revendications que ADOIT devrait s’attendre à recevoir de l’OP. Les revendications sont utilisées pour transmettre des informations sur l’utilisateur (par exemple : l’adresse e-mail, le prénom et le nom).

  • Périmètres : définissez les périmètres utilisés lors du processus d’authentification pour autoriser l’accès à certaines informations de l'utilisateur. Chaque périmètre fournit un ensemble d’attributs, qui sont représentés sous forme de revendications.

Configurer la réinitialisation de mot de passe en libre-service

La réinitialisation de mot de passe en libre-service permet aux utilisateurs d'ADOIT de réinitialiser eux-mêmes leurs mots de passe sans avoir à contacter à chaque fois l'administrateur d'ADOIT. Ils peuvent simplement cliquer sur le lien « Mot de passe oublié? » sur la page de connexion, et ils recevront alors un e-mail avec un lien pour réinitialiser leur mot de passe.

Disponibilité

Cette fonctionnalité est disponible si le composant mail est configuré et qu’un connecteur STANDARD est utilisé (= page de connexion standard où l’utilisateur peut saisir son nom d’utilisateur et son mot de passe).

Remarque

Si vous souhaitez en savoir plus sur la configuration du composant mail, veuillez consulter la section Email.

Les utilisateurs suivants NE PEUVENT PAS réinitialiser leur mot de passe eux-mêmes :

  • Les administrateurs ADOIT (utilisateurs disposant de droits d’administrateur général)

  • Utilisateurs techniques

  • Utilisateurs d’un système externe de gestion des utilisateurs

  • Utilisateurs sans adresse e-mail

Configuration

Dans l'Administration ADOIT, vous pouvez activer ou désactiver la réinitialisation de mot de passe en libre-service et configurer la durée de validité d’un lien de réinitialisation de mot de passe.

Pour configurer les propriétés de réinitialisation du mot de passe :

  • Allez dans Authentification > Connecteurs.

  • Éditez le connecteur STANDARD de votre choix, par exemple Standard Login. Sur la page Propriétés, sous Réinitialisation du mot de passe, adaptez les paramètres suivants :

    • Activé : cochez ou décochez cette case pour activer ou désactiver la réinitialisation du mot de passe en libre-service dans ADOIT.

    • Expiration de la réinitialisation du mot de passe en minutes : indiquez la durée de validité d’un lien de réinitialisation du mot de passe en minutes (par exemple, 30 minutes)

  • Cliquez sur OK, puis sur Enregistrer.

Contraintes

La deuxième page de configuration du connecteur permet de définir des contraintes. Les paramètres suivants sont disponibles :

  • Contraintes : utilisez cette option pour restreindre l’accès au connecteur en autorisant ou en bloquant les demandes en fonction de l’adresse IP du client. Vous pouvez définir des règles qui autorisent ou refusent l’accès selon que l’adresse IP du client correspond ou non à un motif spécifié. Le comportement est déterminé par la logique appliquée - soit « liste blanche » (autoriser l’accès), soit « liste noire » (refuser l’accès). Pour chaque contrainte, vous pouvez choisir entre deux modes :

    • Match : appliquez la règle si l’adresse IP du client correspond exactement au motif spécifié.

    • Subnet : appliquez la règle si l’adresse IP du client se trouve dans une plage de sous-réseau (subnet) définie.

Couplage LDAP

La troisième page de la configuration du connecteur vous permet de configurer le couplage LDAP pour n’importe quel connecteur. Cette fonctionnalité permet de récupérer des données utilisateur supplémentaires depuis un service d’annuaire. Pour les connecteurs STANDARD, le couplage LDAP facilite également l’authentification de l’utilisateur par rapport au service d’annuaire configuré. Les paramètres suivants sont disponibles :

  • Activer/désactiver le couplage LDAP

    • Activé : activez ou désactivez le couplage LDAP pour ce connecteur. Gardez à l’esprit que le couplage LDAP ne fonctionnera que si le mécanisme LDAP est activé dans les paramètres généraux LDAP.

  • Domaines LDAP : si vous le souhaitez, sélectionnez un ou plusieurs domaines à utiliser pour l’authentification et la récupération des données utilisateur. Seuls les domaines précédemment configurés sur la page LDAP seront disponibles à la sélection. Si aucun domaine n’est spécifié, ADOIT tentera tous les domaines à partir des paramètres LDAP globaux de manière séquentielle jusqu’à ce que l’authentification réussisse.

  • Propriétés : vous pouvez également définir des propriétés LDAP supplémentaires spécifiques à ce connecteur. Ces propriétés seront utilisées en plus de celles définies dans les paramètres LDAP généraux.

Mappage des utilisateurs

La quatrième page de la configuration du connecteur vous permet de définir par connecteur la manière dont les propriétés récupérées d’un système de gestion des utilisateurs externe sont traitées pour l’attribution de rôles système, de groupes d’utilisateurs, de référentiels, etc.

Remarque

Seules les propriétés précédemment définies dans ADOIT peuvent être sélectionnées. Par exemple, les propriétés des connecteurs SAML sont définies sous Revendications sur la page Propriétés. Si le couplage LDAP doit être utilisé, un ensemble d’attributs de base à récupérer peut être défini sous les paramètres LDAP généraux, tandis que des propriétés LDAP supplémentaires spécifiques au connecteur peuvent être définies directement sur la page Couplage LDAP.

Les paramètres suivants sont disponibles :

  • Activer/désactiver le mappage d’utilisateurs spécifiques au connecteur

    • Activé : activez ou désactivez le mappage d’utilisateur défini ici au niveau du connecteur. Ne désactivez cette option que si le couplage LDAP est configuré pour ce connecteur et que vous souhaitez utiliser le mappage d’utilisateurs spécifique au domaine au lieu du mappage d’utilisateurs spécifique au connecteur.

  • Propriétés : assignez des attributs utilisateur dans ADOIT sur la base des propriétés externes. Chaque attribution est configurée avec les paramètres suivants :

    • Propriété : choisissez la propriété externe à mapper à un attribut utilisateur.

    • Attribut : l’attribut correspondant dans ADOIT (par exemple: « Prénom » ou « Adresse e-mail »).

    • Instruction du traitement : vous pouvez éventuellement inclure des instructions de traitement pour gérer ou modifier la valeur pendant l’exécution.

Exemple

Propriété : givenName, Attribut : Prénom

La valeur de la propriété LDAP « givenName » est affectée à l'attribut « Prénom » dans ADOIT.

  • Rôles : attribuez des rôles système en fonction de propriétés externes.

    • Rôles par défaut : définissez des rôles système par défaut pour les utilisateurs si aucune autre attribution de rôle ne s’applique.

    • Rôles : configurez l’attribution de rôles personnalisés à l’aide des éléments suivants:

      • Propriété : sélectionnez la propriété d’attribution du rôle système.

      • Type : choisissez une méthode pour faire correspondre les valeurs (voir Méthodes possibles pour faire correspondre les valeurs).

      • Atteint : définissez la valeur à faire correspondre.

      • Nom de la cible : sélectionnez le rôle système à attribuer dans ADOIT.

  • Groupes : attribuez des groupes d’utilisateurs en fonction de propriétés externes.

    • Groupes par défaut : définissez des groupes d’utilisateurs par défaut pour les utilisateurs si aucune autre attribution de groupe ne s’applique.

    • Groupes : configurez des attributions de groupes personnalisées à l’aide des éléments suivants:

      • Propriété : sélectionnez la propriété d’attribution du groupe d’utilisateurs.

      • Type : choisissez une méthode pour faire correspondre les valeurs (voir Méthodes possibles pour faire correspondre les valeurs).

      • Atteint : définissez la valeur à faire correspondre.

      • Nom de la cible : sélectionnez le groupe d’utilisateurs à attribuer dans ADOIT.

  • Référentiel : attribuez des référentiels aux utilisateurs en tant que lieu de travail. Simultanément, les utilisateurs seront mis à disposition en tant qu’objets dans la modélisation.

    • Attributions par défaut : définissez des référentiels par défaut qui seront automatiquement attribués à chaque utilisateur. Bien que vous puissiez toujours configurer des attributions de référentiels conditionnels, ces référentiels serviront de référence pour tous les utilisateurs. Choisissez « Tous les référentiels » ou un référentiel spécifique. Pour des référentiels spécifiques, vous pouvez également spécifier un groupe d’objets dans lequel les objets utilisateur affectés doivent se trouver.

    • Attributions conditionnelles : configurez des attributions de référentiel personnalisées à l’aide des éléments suivants:

      • Propriété : sélectionnez la propriété d’attribution du référentiel.

      • Type : choisissez une méthode pour faire correspondre les valeurs (voir Méthodes possibles pour faire correspondre les valeurs).

      • Atteint : définissez la valeur à faire correspondre.

      • Nom de la cible : sélectionnez le référentiel à attribuer dans ADOIT. Choisissez de cibler « Tous les référentiels » ou un référentiel spécifique. Pour des référentiels spécifiques, vous pouvez également spécifier un groupe d’objets dans lequel les objets utilisateur affectés doivent se trouver.

  • Utilisateurs dédiés : Attribuez des utilisateurs à des scénarios ou des licences nommées.

    • Scénarios par défaut : définissez un tableau d’ID de scénario auxquels un utilisateur doit avoir un accès à utilisation nommée par défaut (si aucune autre règle d’utilisation nommée ne s’applique).

    • Scénarios : configurez des attributions de scénarios personnalisés à l’aide des éléments suivants:

      • Propriété : sélectionnez la propriété pour l’attribution du scénario.

      • Type : choisissez une méthode pour faire correspondre les valeurs (voir Méthodes possibles pour faire correspondre les valeurs).

      • Atteint : définissez la valeur à faire correspondre.

      • Nom de la cible : sélectionnez le scénario dans ADOIT qui devrait être attribué.

  • Gestion des utilisateurs mappés : peut être utilisé pour spécifier les cas où les utilisateurs déjà authentifiés doivent être mappés à (= traités comme) d’autres utilisateurs (alias). Ces utilisateurs alias représenteront l’utilisateur authentifié lorsqu’il se connectera à ADOIT. Par exemple, le mappage d’un groupe spécifique d’utilisateurs à un utilisateur ayant accès au Référentiel d'Entreprise.

    • Utilisateur mappé par défaut : définissez un utilisateur alias par défaut auquel les utilisateurs doivent être affectés si aucun autre mappage ne s’applique (nouveaux utilisateurs uniquement).

    • Utilisateurs mappés : configurez l’attribution d’utilisateurs alias personnalisés à l’aide de:

      • Propriété : sélectionnez la propriété d’affectation de l’utilisateur alias.

      • Type : choisissez une méthode pour faire correspondre les valeurs (voir Méthodes possibles pour faire correspondre les valeurs).

      • Atteint : définissez la valeur à faire correspondre.

      • Mapper les utilisateurs existants : si vous le souhaitez, spécifiez la façon dont les utilisateurs existants sont gérés. Lorsqu’il est activé, l’utilisateur authentifié sera toujours traité comme l’utilisateur alias si les critères de mappage sont remplis. S’il est désactivé, ce mappage ne s’applique qu’aux nouveaux utilisateurs qui n’existent pas déjà dans la base de données d'ADOIT et ne peut pas être créée automatiquement.

      • Nom de la cible : sélectionnez l’utilisateur alias qui devrait être attribué dans ADOIT.

  • Synchroniser les utilisateurs : contrôlez la création et la synchronisation des utilisateurs:

    • Créer un utilisateur automatiquement : spécifiez si les utilisateurs qui se connectent à ADOIT pour la première fois seront créés « à la volée » dans la base de données d'ADOIT.

    • Synchroniser automatiquement : indiquez si les données de l’utilisateur doivent être mises à jour en fonction des informations récupérées depuis le service d’annuaire à chaque connexion de l’utilisateur et/ou à chaque fois qu’une tâche de synchronisation périodique est effectuée. Les modifications manuelles apportées à l’utilisateur par l'administrateur ADOIT sont écrasés dans ce cas.

      Les données utilisateur synchronisées peuvent être définies dans les propriétés enfants de ce paramètre :

      • Synchroniser les attributs : indiquez si l’attribution des attributs utilisateur doit être mise à jour chaque fois que les données utilisateur sont synchronisées.

      • Synchroniser les rôles : indiquez si l’attribution des rôles système doit être mise à jour chaque fois que les données utilisateur sont synchronisées.

      • Synchroniser les groupes : indiquez si l’attribution des groupes d’utilisateurs doit être mise à jour chaque fois que les données de l’utilisateur sont synchronisées.

      • Synchroniser les référentiels : indiquez si l’attribution des référentiels doit être mise à jour chaque fois que les données utilisateur sont synchronisées.

      • Synchroniser l’utilisation nommée : indiquez si l’attribution de l’accès à l’utilisation nommée aux scénarios doit être mise à jour chaque fois que les données de l'utilisateur sont synchronisées.

  • Gestion de la suppression : indiquez ce qui doit se passer avec les utilisateurs qui ne sont pas trouvés lors de l’exécution d’une tâche de synchronisation périodique.

    • Supprimer les utilisateurs introuvables : indiquez si les utilisateurs introuvables doivent être supprimés.

    • Déplacer les utilisateurs non supprimables vers le groupe : indiquez si les utilisateurs introuvables qui ne peuvent pas être supprimés lors de la synchronisation doivent être déplacés vers un groupe d’utilisateurs spécifique. Si cette option est activée, vous devez sélectionner un groupe spécifique vers lequel déplacer ces utilisateurs non supprimables. Sinon, les utilisateurs ne seront pas déplacés.

Remarque

Quels utilisateurs ne peuvent pas être supprimés ?

  • Utilisateurs connectés.

  • Utilisateurs qui ont été partagés dans un référentiel (= pour les rendre disponibles en tant qu’objets dans la modélisation) lorsqu’ils sont utilisés dans un modèle ou qu’ils ont des relations entrantes.

Méthodes possibles pour faire correspondre les valeurs (Match)

Lors de la définition d’un mappage d’utilisateur pour un connecteur, les méthodes possibles pour faire correspondre les valeurs sont les suivantes (type de paramètre) :

  • equals : les valeurs doivent correspondre exactement.

  • equalsIgnoreCase : les valeurs doivent correspondre exactement, mais la casse est ignorée.

  • contains : la valeur cible doit contenir la correspondance spécifiée en tant que sous-chaîne.

  • containsWord : la valeur cible doit contenir exactement le mot entier que vous recherchez.

  • containsWordIgnoreCase : identique à containsWord, mais la casse est ignorée.

  • regExp : la correspondance se fait à l’aide d’une expression régulière (un système de correspondance basé sur des motifs).

  • indicateur : la correspondance se fait sur la base d’indicateurs (pour les connecteurs IDM uniquement)

Ajuster les connecteurs

Les connecteurs peuvent être renommés, supprimés, etc. :

  1. Allez dans Authentification > Connecteurs.

  2. Recherchez le connecteur que vous souhaitez ajuster.

Choisissez ensuite l’une des actions suivantes :

  • Éditer le connecteur: Passez la souris sur le connecteur, cliquez sur Plus, puis sélectionnez Éditer. Vous pouvez maintenant configurer le connecteur.

  • Renommer ou supprimer le connecteur: Passez la souris sur le connecteur, cliquez sur Plus, puis sélectionnez Renommer ou Supprimer.

  • Augmenter ou réduire la priorité: Si plusieurs connecteurs sont activés, vous pouvez ajuster l’ordre dans lequel ils doivent être essayés pour traiter une demande d’authentification. Utilisez la poignée de déplacement () pour faire glisser un connecteur vers une nouvelle position. Vous pouvez également pointer sur le connecteur, cliquez sur Plus, puis sélectionnez Augmenter la priorité ou Réduire la priorité.

  • Activer ou désactiver le connecteur: Passez la souris sur le connecteur, cliquez sur Plus, puis sélectionnez Activer le connecteur ou Désactiver le connecteur. Cette option est utile, par exemple, si vous souhaitez désactiver temporairement un connecteur au lieu de le supprimer définitivement.

  • Cloner le connecteur: Passez la souris sur le connecteur, cliquez sur Plus, puis sélectionnez Cloner. Entrez un nom pour le nouveau connecteur pour continuer. Une copie exacte du connecteur, y compris tous les paramètres de configuration, sera créée. Les fichiers de certificat associés au connecteur d’origine seront également dupliqués en arrière-plan.

  • Configurer le fournisseur d’identités (IdP): Disponible uniquement pour les connecteurs SAML. Passez la souris sur le connecteur, cliquez sur Plus, puis sélectionnez Configurer IDP. Cette option vous permet de télécharger un fichier XML de métadonnées ou de fournir une URL de métadonnées. Les métadonnées contiennent toutes les informations nécessaires à ADOIT pour consommer les tokens émis par votre IdP. Lors du téléchargement, les propriétés suivantes du connecteur SAML sont automatiquement renseignées : Type de liaison, adresse IDP et fichier de la clé publique IDP.

LDAP

La page LDAP vous permet de configurer les paramètres LDAP généraux et les paramètres spécifiques au domaine. Il se compose de deux volets :

  • Domaines LDAP: Le volet gauche de la page LDAP vous permet d’ajouter et de gérer les domaines utilisés pour l’authentification et la récupération des données utilisateur. Tous les domaines configurés sont répertoriés ici.

  • Paramètres LDAP: Le volet droit de la page LDAP vous permet de définir des paramètres généraux qui s’appliquent à tous les domaines.

Ajouter un domaine

Pour ajouter un nouveau domaine dans l'Administration ADOIT :

  1. Allez dans Authentification > LDAP.

  2. Dans le volet gauche, sous Domaines LDAP, cliquez sur Créer.

Une fois que vous avez ajouté le domaine, vous pouvez commencer à travailler sur la configuration immédiatement. Suivez ces trois étapes :

  1. Paramètres généraux

  2. Mappage des utilisateurs

  3. À planifier

Paramètres généraux

La première page de la configuration du domaine vous permet de définir des paramètres généraux tels que le nom de domaine, l’URL du fournisseur, les détails de l’utilisateur principal, etc. Les paramètres suivants sont disponibles :

  • Priorité : l'ordre dans lequel les domaines sont essayés lors d’une demande d’authentification.

  • Nom : l’identifiant de ce domaine. Cette valeur doit être unique parmi les domaines. De plus, ce nom apparaîtra dans les logs.

  • URL du fournisseur : spécifiez l’URL du serveur d’annuaire LDAP. Cette valeur prend la forme ldap://host:port. Notez qu’il est recommandé d’utiliser des adresses IP au lieu de noms de domaine pour éviter la recherche DNS.

  • Protocole de sécurité : si vous utilisez LDAPS, vous devez activer SSL et télécharger un certificat SSL (X509) ici.

  • Principal : nom de connexion de l’utilisateur principal utilisé pour rechercher tous les autres utilisateurs. Cet utilisateur DOIT avoir un accès en lecture à toutes les parties du service d’annuaire qui sont utilisées dans ADOIT.

  • Domaine principal : domaine de l’utilisateur principal.

  • Format du principal : ce champ définit comment composer le nom d’utilisateur et le domaine du principal pour s’authentifier auprès de l’annuaire. Les espaces réservés (%principal%, %principaldomain%) sont utilisés pour représenter le nom de connexion et le domaine, et leur disposition dépend du service d’annuaire que vous utilisez. Par exemple, dans Microsoft Active Directory, le format est généralement %principal%@%principaldomain%, tandis que pour IBM Tivoli, il s’agit de cn=%principal%,%principaldomain% (où principaldomain suit une structure spécifique, par exemple, « o=domain.com »).

  • Mot de passe : mot de passe de l’utilisateur principal. Sera stocké sous forme cryptée.

  • Délai d’expiration de la connexion : la durée maximale autorisée pour établir une connexion à l’annuaire lors de l’authentification et d’autres requêtes liées à LDAP. La valeur par défaut, si elle n’est pas définie, est de 5000 millisecondes (5 secondes)

  • Identificateur unique : sélectionnez une propriété à servir d’identificateur unique à usage interne. Si aucune propriété LDAP spécifique ne permet d’identifier de manière unique les objets de l’annuaire, utilisez NAME_IN_NAMESPACE. Vous pouvez sélectionner plusieurs propriétés pour gérer les cas où différents utilisateurs peuvent utiliser des propriétés différentes (par exemple, des différences entre les majuscules et les minuscules). ADOIT essaiera chaque propriété pour chaque utilisateur, de manière séquentielle, en utilisant la première propriété correspondante comme identificateur unique.

  • DN de base de connexion : le DN de base de connexion (nom distinctif) spécifie le point de départ de votre structure d’annuaire à partir duquel le serveur LDAP commence à rechercher des objets utilisateur pendant le processus d’authentification. Cela définit le domaine de base dans l’annuaire LDAP où se trouvent les utilisateurs. La valeur par défaut est DC=company,DC=com, ce qui correspond à la racine du domaine company.com. Remplacez company par votre nom de société ou de domaine réel, et com avec le domaine de premier niveau (TLD) approprié pour votre organisation.

  • Filtre de connexion : cette option de filtre obligatoire inclut un espace réservé au nom d’utilisateur, utilisé afin d’identifier précisément l’objet utilisateur correspondant dans l’annuaire LDAP. La configuration par défaut (&(objectClass=user)(sAMAccountName=%username%)) est généralement suffisant et ne nécessite généralement pas de modification. Lorsqu’un utilisateur tente de se connecter, ADOIT remplace automatiquement %username% par le nom d’utilisateur saisi. Le filtre recherche ensuite dans l’annuaire LDAP un objet utilisateur avec un attribut sAMAccountName correspondant au nom d’utilisateur fourni. Si une entrée correspondante est trouvée, ADOIT confirme que les identifiants de connexion appartiennent à un utilisateur valide dans l’annuaire. Pour plus d’informations sur les types de filtres autorisés et les opérateurs booléens, veuillez vous référer au texte d’information associé à ce paramètre.

  • Filtre de synchronisation : cette option définit un filtre à utiliser lors des tâches de synchronisation. Il suit les mêmes règles et options que le filtre de connexion. Le filtre de synchronisation agit comme une solution de secours pour les tâches de synchronisation au cas où elles n’auraient pas de paramètre « filter » spécifié. Si une tâche de synchronisation est configurée sans paramètre Filtrer et qu’aucun filtre de synchronisation n’est défini, le filtre par défaut (objectClass=user) sera utilisé comme filtre de synchronisation pour cette tâche de synchronisation spécifique.

  • DN de base de synchronisation : ce paramètre spécifie le nom distinctif (DN) de base à partir duquel les tâches de synchronisation doivent démarrer. Il sert de solution de secours pour les travaux de synchronisation qui n’ont pas de paramètre défini pour le nœud de départ. Si ni le DN de base de synchronisation ni le   nœud de départ ne sont spécifiés, la valeur du paramètre DN de base de connexion dans la configuration du domaine sera utilisée comme point de départ par défaut pour cette tâche de synchronisation.

  • Portée de la connexion : cette propriété spécifie l’étendue de la recherche dans l’annuaire. Il détermine l’étendue de la recherche. Les options disponibles sont les suivantes :

    • Sous-arborescence : (par défaut) recherchez l’ensemble de la sous-arborescence à partir de la racine ou du nœud de départ spécifié.

    • Un : recherchez le nœud actuel et un niveau supplémentaire dans la recherche.

    • Objet : recherchez uniquement l’objet actuel. Cette option n’est généralement pas recommandée.

  • OID de contrôle des résultats paginés : spécifiez l’identificateur d’objet (OID) du contrôle de service d’annuaire utilisé pour déterminer si le service d’annuaire prend en charge les résultats paginés.

  • Taille de la page : spécifiez le nombre d’entrées par page lorsque les résultats paginés sont pris en charge par le service d’annuaire. Ce paramètre détermine le nombre maximal de résultats renvoyés dans chaque page des résultats de recherche.

  • Connecteur par défaut : spécifiez un connecteur de secours avec couplage LDAP pour gérer le mappage d’utilisateurs dans les cas où ni le mappage d’utilisateurs spécifique au connecteur ni le mappage d’utilisateurs spécifiques au domaine ne sont activés.

  • Ignorer l’ObjectSID manquant : déterminez s’il faut ignorer les valeurs objectSid manquantes pour les utilisateurs LDAP. Par défaut, les objets LDAP sont identifiés par leur ID LDAP unique, récupéré via l’attribut objectSid. Si cet ID ne peut pas être récupéré pour un utilisateur LDAP, ses propriétés LDAP seront ignorées, ce qui signifie que son rôle, son groupe et d’autres attributions en fonction du mappage d’utilisateur ne seront pas appliqués. Cela affecte à la fois les actions de connexion et de synchronisation. Si cette option est activée, toutes les valeurs objectSid manquantes seront ignorées et les données de l’utilisateur seront toujours récupérées, mais l’utilisateur ne disposera pas d’un ID LDAP unique dans ses propriétés, ce qui peut entraîner des problèmes tels que l’impossibilité de se connecter à Administration ADOIT. Si ce paramètre est désactivé, les valeurs objectSid manquantes ne sont pas ignorées et les données utilisateur LDAP de ces utilisateurs sont ignorées.

  • Redirection : configurez la manière dont les redirections (referrals) du service d'annuaire sont traitées. S’il n’est pas spécifié, le comportement par défaut du service d’annuaire sera utilisé.

    • ignorer : Ne pas suivre les redirections; elles seront ignorées..

    • suivre : Suivre et résoudre automatiquement les redirections.

    • générer une exception : Générer une exception lorsqu'une redirection (referral) est rencontrée.

Mappage des utilisateurs

La deuxième page de la configuration du domaine LDAP vous permet de configurer le mappage des utilisateurs directement au niveau du domaine. Ce mappage d’utilisateurs sera appliqué dans les cas où les utilisateurs se connectent via un connecteur qui ne spécifie pas son propre mappage d’utilisateurs.

Il existe un paramètre spécifique à la configuration du domaine :

  • Activer/désactiver le mappage d’utilisateurs spécifiques à un domaine

    • Activé : utilisez ce paramètre pour décider si le mappage d’utilisateurs spécifique au domaine doit être appliqué. Gardez à l’esprit que ce mappage n’est utilisé que lorsque le mappage spécifique au connecteur est désactivé. Si le mappage d’utilisateur spécifique au connecteur est activé, cette configuration prévaudra.

Les autres paramètres de cette page sont identiques à ceux de la configuration du connecteur. Des instructions détaillées pour ces paramètres sont disponibles dans la section Mappage des utilisateurs de la documentation de configuration du connecteur.

À planifier

La troisième page de la configuration du domaine vous permet d’automatiser la synchronisation des utilisateurs avec LDAP en définissant une planification pour un domaine spécifique.

Remarque

Vous pouvez également configurer la synchronisation pour tous les domaines simultanément dans les paramètres généraux LDAP. Le processus de configuration est le même pour les planifications spécifiques au domaine et globales.

Les paramètres suivants sont disponibles :

  • Nom : un nom à utiliser pour cette tâche (juste pour la traçabilité).

  • Filtre : un filtre facultatif permettant d’affiner l'ensemble des résultats de la recherche. Si aucun filtre spécifique n’est fourni pour une tâche de synchronisation, la valeur du paramètre Filtre de synchronisation dans la configuration du domaine sera utilisée comme solution de secours. Si ni un filtre spécifique ni un filtre de secours n’est défini, le filtre par défaut (objectClass=user) sera appliqué pour récupérer uniquement les objets utilisateur.

  • Nœud de départ : Définissez le nœud de l’arborescence du service d’annuaire qui doit être utilisé comme point de départ pour les recherches des utilisateurs. Le paramètre DN de base de synchronisation est utilisé comme solution de secours lorsqu’aucun nœud de départ n’est défini pour la tâche de synchronisation. Si ni le DN de base de synchronisation ni le nœud de départ ne sont définis, le paramètre DN de base de connexion est utilisé comme solution de secours.

  • Commencer à : date de début facultative indiquant quand la planification doit être active. Par défaut, la planification est active immédiatement.

  • Se terminer à : date de fin facultative spécifiant quand la planification doit être inactive. Après cette date, la planification ne sera plus active.

  • Type : choisissez l’unité de temps pour la planification de la synchronisation. Les options disponibles incluent : seconde, minute, heure, jour, semaine, mois ou année.

  • Intervalle : définissez la fréquence de la tâche de synchronisation pour les planifications en secondes, minutes, heures ou années. Sélectionnez chaque fois combien d’unités de temps ADOIT exécute la tâche.

  • Jour du mois : spécifiez le jour du mois où la tâche doit être exécutée pour les planifications mensuelles.

  • Jours de la semaine : sélectionnez les jours où la tâche doit être exécutée pour les planifications quotidiennes et hebdomadaires comme suit:

    • Jours : la tâche est exécutée tous les jours par défaut, mais vous pouvez éventuellement la restreindre à des jours spécifiques de la semaine.

    • Semaines : la tâche est exécutée une fois par semaine, au jour sélectionné.

  • Temps d’exécution : spécifiez l’heure et la minute exactes auxquelles la tâche doit commencer pour les planifications quotidiennes, hebdomadaires et mensuelles.

Ajuster les domaines

Les domaines peuvent être édités, supprimés, etc. :

  1. Allez dans Authentification > LDAP.

  2. Dans le volet gauche, sous Domaines LDAP, recherchez le domaine que vous souhaitez ajuster.

Choisissez ensuite l’une des actions suivantes :

  • Éditer le domaine: Passez la souris sur le domaine, cliquez sur Plus, puis sélectionnez Éditer. Vous pouvez maintenant configurer le domaine.

  • Supprimer un domaine: Passez la souris sur le domaine, cliquez sur Plus, puis sélectionnez Supprimer.

  • Augmenter ou réduire la priorité: Si plusieurs domaines sont activés, vous pouvez ajuster l’ordre dans lequel ils doivent être essayés pour traiter une demande d’authentification. Faites glisser un domaine à l’aide de la poignée () pour le repositionner. Vous pouvez également pointer sur le domaine, cliquer sur Plus, puis sélectionner Augmenter la priorité ou Réduire la priorité.

Configurer les paramètres LDAPS

Pour modifier les paramètres généraux LDAP qui s’appliquent à tous les domaines :

  1. Allez dans Authentification > LDAP.

  2. Dans le volet droit, sous Paramètres LDAP, ajustez les paramètres dans les sections Paramètres généraux, Environnement, Propriétés et À planifier.

Les paramètres suivants sont disponibles :

  • Paramètres généraux

    • Activé : activez ou désactivez le mécanisme LDAP globalement. Le couplage LDAP d’un connecteur ne fonctionnera que si ce paramètre est activé.

    • Autoriser l’action du client : déterminez si les appels LDAP côté client doivent être autorisés ou non. Ce paramètre contrôle si les actions suivantes peuvent être déclenchées manuellement dans l' Administration ADOIT (voir Serveur pour plus d’informations) :

      • Commencer la synchronisation LDAP

      • Effacer le cache LDAP

    • Domaine par défaut : indiquez le domaine à utiliser pour l’authentification et la consultation des données utilisateur lorsqu’aucun autre domaine n’est spécifié.

    • Mode d’authentification : paramètre facultatif qui spécifie le niveau de sécurité de l’authentification. Les valeurs possibles sont « aucune », « simple » ou « forte ». Si cette option n’est pas spécifiée, le comportement sera déterminé par les paramètres par défaut du fournisseur de services d’annuaire.

    • Fabrique de contexte : spécifiez le nom de la classe principale responsable de l’implémentation de LDAP. Si vous utilisez l’implémentation LDAP de JavaSoft, la valeur doit être définie à com.sun.jndi.ldap.LdapCtxFactory. Modifiez ce paramètre uniquement si nécessaire pour votre configuration LDAP spécifique.

    • Préfixes de l'URL de package : cette propriété définit la liste des préfixes de package à utiliser lors du chargement dans les fabriques de contexte d’URL. La valeur de la propriétés doit être une liste de préfixes de package séparés par des deux-points pour le nom de classe de la classe de fabrique qui créera une fabrique de contexte d’URL. Modifiez ce paramètre uniquement si nécessaire pour votre configuration LDAP spécifique.

  • Environnement : une liste des propriétés supplémentaires utilisées lors de la création initiale du contexte LDAP. Ces propriétés permettent de personnaliser l’environnement LDAP et les paramètres de connexion. Pour en savoir plus, consultez la section consacrée à la documentation javax.naming.Context. Modifiez ce paramètre uniquement si nécessaire pour votre configuration LDAP spécifique.

  • Propriétés : ces propriétés définissent l’ensemble de base d’attributs qui seront récupérés via LDAP. Si le couplage LDAP est activé, des propriétés LDAP supplémentaires spécifiques au connecteur peuvent être récupérées. Toutes les propriétés qui doivent être utilisées dans les configurations de domaine pour configurer un mappage d’utilisateur directement au niveau du domaine doivent être incluses dans cette liste.

  • À planifier : configurez la synchronisation automatisée des utilisateurs avec LDAP pour tous les domaines simultanément.

Remarque

Vous pouvez également configurer la synchronisation pour un domaine spécifique directement dans la configuration du domaine. Le processus de configuration est le même pour les planifications spécifiques au domaine et globales. Pour plus d’informations sur les paramètres disponibles, consultez la section À planifier dans la documentation de configuration du domaine.

SAML

La page SAML vous permet de configurer divers paramètres pour activer l’authentification SAML. Ces paramètres définissent la façon dont ADOIT interagit avec le fournisseur d’identité SAML (IdP).

Les paramètres suivants sont disponibles :

  • Identificateur de la configuration : entrez un identificateur unique que ADOIT utilisera pour s’identifier auprès de l’IdP. Cette valeur doit correspondre à l’ID que vous avez configuré du côté de l’IdP pour identifier ADOIT. Par exemple, pour Microsoft Entra ID, elle doit être égale à l’Identificateur (ID d’entité).

  • URL du consommateur d’assertion : spécifiez l’URL par défaut où ADOIT devra recevoir le jeton d’authentification de l’IdP. Cette URL sera appliquée dans les cas où les utilisateurs se connectent via un connecteur qui ne fournit pas d’URL de consommateur d’assertion spécifique.

    Il doit être composé de l’URL HTTPS d'ADOIT et du suffixe « /auth.view », par exemple « https://<SERVER_NAME>:<TOMCAT_PORT>/ADOIT17_3/auth.view ». Cette valeur doit correspondre à l’URL de réponse configurée du côté de l’IdP. Par exemple, pour Microsoft Entra ID, il doit être égal à l’URL de réponse (URL du service consommateur d’assertion).

    • Activé : activez cette option pour permettre la définition d’une URL de consommateur d’assertion par défaut.

    • URL : entrez l’URL du consommateur d’assertion par défaut.

Remarque

Si aucune URL de consommateur d’assertion par défaut n’est activée ici sur la page SAML et qu’aucune URL de consommateur d’assertion spécifique n’est activée au niveau du connecteur, l’URL de base sera utilisée à la place.

  • Signature de jeton : Configurez les paramètres de signature des jetons SAML, ce qui garantit l’intégrité et l’authenticité des données échangées entre ADOIT et le fournisseur d’identité (IdP).

    Pour activer la connexion par jeton dans ADOIT, un certificat SSL pour le fournisseur de services (SP) est requis. À cet effet, vous pouvez générer un certificat auto-signé à l’aide de l’outil de clé Java.

    • Alias de la clé : entrez l’alias spécifié dans le fichier de la clé pour le certificat de signature de jeton du SP.

    • Fichier de la clé : cliquez sur Parcourir pour télécharger le fichier de la clé qui contient le certificat de signature de jeton du SP.

    • Mot de passe de la clé : entrez le mot de passe permettant d’accéder au fichier. Sera stocké sous forme cryptée.

  • Déchiffrement des assertions : si votre fournisseur d’identité a été configuré pour chiffrer les assertions à des fins de sécurité renforcée, vous pouvez configurer les paramètres de déchiffrement des assertions SAML dans ADOIT.

    Pour activer le déchiffrement des assertions dans ADOIT, un certificat SSL pour le fournisseur de services (SP) est requis. Ce certificat peut être le même que le certificat de signature de jeton du SP.

    • Activé : Cochez cette case pour autoriser ADOIT à déchiffrer les assertions chiffrées entrantes provenant de l’IdP.

    • Alias de la clé : entrez l’alias spécifié dans le fichier de la clé pour le certificat de déchiffrement d’assertion du SP.

    • Fichier de la clé : cliquez sur Parcourir pour télécharger le fichier de la clé qui contient le certificat de déchiffrement d’assertion du SP.

    • Mot de passe de la clé : entrez le mot de passe permettant d’accéder au fichier. Sera stocké sous forme cryptée.

JWT

La page JWT vous permet de configurer l’authentification JWT pour les requêtes REST.

Remarque

La configuration des paramètres sur la page JWT est expliquée dans la documentation de l’API REST. Pour plus de détails, consultez la section Activer l’authentification JWT pour ADOIT.

OAuth 2.0

La page OAuth 2.0 vous permet de configurer l’authentification OAuth 2.0 pour les requêtes REST.

Remarque

La configuration des paramètres sur la page OAuth 2.0 est expliquée dans la documentation de l’API REST. Pour plus de détails, consultez la section Activer OAuth 2.0 pour ADOIT.

Plus d’outils

La page Authentification permet de configurer les avertissements de licence, les paramètres de sécurité et les paramètres généraux d’authentification :

Avertissements de licence

Pour configurer les avertissements de licence - notifications automatiques par e-mail lorsque la plupart des utilisateurs aux accès nommés disponibles sont déjà affectés attribués pour un scénario spécifique et qu’une action est nécessaire pour étendre la licence :

  • Allez dans Authentification   > Plus d’options, puis cliquez sur Avertissements de licence.

Adaptez les paramètres suivants et enregistrez les modifications par la suite :

  • E-mail du destinataire de la notification: Entrez l’adresse e-mail qui doit recevoir les notifications.

  • Seuil de notification: Spécifiez le seuil de notification. Entrez le pourcentage d’utilisateurs aux accès nommés déjà affectés à un scénario spécifique qui, lorsqu’il est dépassé, déclenche un avertissement de licence.

  • Notification en cas de dépassement du seuil: Spécifiez si une notification est envoyée lorsque le nombre d’utilisateurs nommés pour un scénario a dépassé le seuil configuré.

  • Notification lors de la récupération du seuil: Spécifiez si une notification est envoyée lorsque le nombre d’utilisateurs nommés pour un scénario est passé en dessous du seuil configuré.

Disponibilité

Cette fonctionnalité est disponible si le composant « Messagerie électronique » est configuré.

Remarque

Si vous souhaitez en savoir plus sur la configuration du composant mail, veuillez consulter la section Email.

Paramètres de sécurité

Pour modifier les paramètres de sécurité de l’authentification :

  1. Allez dans Authentification > Plus d’options, puis cliquez sur Paramètres de sécurité.

  2. Ajustez les paramètres dans les sections Paramètres généraux, Brute force, Réauthentification, REST et Restrictions IP du portail de l'organisation.

Les paramètres suivants sont disponibles :

  • Paramètres généraux

    • Autoriser CORS : cochez cette case pour autoriser les demandes d’authentification OAuth 2.0 depuis le module ADOIT Enterprise Architect for Confluence.

    • Restrictions IP de la page d’administration : spécifiez les adresses IP qui doivent être autorisées à accéder à l'Administration ADOIT (voir Configurer les restrictions IP).

  • Brute force : configurez les paramètres de protection contre brute force pour les tentatives de connexion normales à ADOIT par les utilisateurs (voir Configurer la protection contre Brute force).

  • Réauthentification

    • Activé : cochez cette case pour permettre la réauthentification. La réauthentification peut être personnalisée pour protéger certaines actions critiques de l'entreprise dans ADOIT.

    • Brute force : configurez les paramètres de protection contre la force brute pour les tentatives de réauthentification (voir Configurer la protection contre Brute force).

  • REST

    • Autoriser CORS : cochez cette case pour autoriser les requêtes depuis le module ADOIT Enterprise Architect for Confluence.

    • Brute force : configurez les paramètres de protection contre Brute force pour les tentatives de connexion via API REST ADOIT (voir Configurer la protection contre Brute force).

    • Restrictions IP Basicauth : Spécifiez les adresses IP qui doivent être autorisées à envoyer des requêtes avec une authentification de base à l'API REST ADOIT (voir Configurer les restrictions IP).

    • Rôles d’authentification de base : si vous le souhaitez, sélectionnez les rôles système dont un utilisateur doit disposer d’au moins un pour pouvoir utiliser l'API REST ADOIT avec authentification de base. Si aucun rôle système n’est sélectionné, tous les rôles système autorisent l’accès à l’API.

  • Restrictions IP du portail de l'organisation : spécifiez les adresses IP qui doivent être autorisées à accéder au portail d'organisation (voir Configurer les restrictions IP).

Configurer la protection contre Brute force

ADOIT dispose d’un mécanisme permettant d’empêcher les tentatives de brute force pour accéder aux identifiants de connexion. Après un nombre déterminé de tentatives de connexion infructueuses, la connexion à ADOIT est bloquée et un message est affiché à l'intention de l’utilisateur. Pour adapter les paramètres de protection contre brute force.

Vous pouvez configurer les paramètres de protection contre brute force aux niveaux suivants:

  • Brute force: paramètres pour les tentatives de connexion régulières à ADOIT par les utilisateurs.

  • Réauthentification: paramètres pour les tentatives de réauthentification. La réauthentification peut être personnalisée pour protéger certaines actions critiques de l'entreprise dans ADOIT.

  • REST: paramètres pour les tentatives de connexion via l’API REST qui permettent un accès authentifié aux fonctionnalités exposées dans ADOIT.

Adaptez les paramètres suivants et enregistrez les modifications par la suite :

  • Temps d'arrêt après le nombre maximal de tentative (IP): Durée (en millisecondes) pendant laquelle les tentatives de connexion sont bloquées pour une adresse IP après un nombre déterminé de tentatives de connexion infructueuses. La valeur par défaut est de 60 000 millisecondes (= 1 minute).

  • Temps d'arrêt après le nombre maximal de tentative (général): Durée (en millisecondes) pendant laquelle les tentatives de connexion sont bloquées pour tous les utilisateurs après un nombre déterminé de tentatives de connexion globales infructueuses. La valeur par défaut est de 30 000 millisecondes (= 30 secondes).

  • Seuil de nettoyage Utilisateur: Période (en millisecondes) dans laquelle les tentatives infructueuses pour un nom d’utilisateur sont prises en compte. La valeur par défaut est de 600 000 millisecondes (= 10 minutes).

  • Seuil de nettoyage IP: Période (en millisecondes) au cours de laquelle les tentatives infructueuses d’obtention d’une adresse IP sont prises en compte. La valeur par défaut est de 10 800 000 millisecondes (= 3 heures).

  • Période de nettoyage: Période (en millisecondes) dans laquelle les tentatives infructueuses de tous les utilisateurs sont prises en compte. La valeur par défaut est de 60 000 millisecondes (= 1 minute).

  • Nombre maximal de tentatives par IP: Nombre maximal de tentatives de connexion infructueuses avant qu’une adresse IP ne soit bloquée pendant une durée déterminée. La valeur par défaut est 75 fois.

  • Nombre maximal de tentatives par nom d’utilisateur: Nombre maximal de tentatives de connexion infructueuses avant qu’un nom d’utilisateur ne soit bloqué pendant 10 minutes. La valeur par défaut est 15 fois.

  • Nombre maximal de tentatives: Nombre maximal de tentatives de connexion générales infructueuses avant que tous les utilisateurs ne soient bloqués pendant une durée déterminée. La valeur par défaut est 150 fois.

Exemple

S’il y a 75 tentatives de connexion infructueuses depuis une adresse IP [Nombre maximal de tentatives par IP] pendant un intervalle de 3 heures [Seuil de nettoyage IP], les utilisateurs de cette adresse IP doivent attendre une minute [Temps d'arrêt après le nombre maximal de tentative (IP) ].

Configurer les restrictions IP

Cette section explique comment configurer les restrictions IP aux niveaux suivants :

  • Restrictions IP de la page d’administration : contrôlez quelles adresses IP sont autorisées à accéder à l'Administration ADOIT.

  • Restrictions IP Basicauth : Contrôlez quelles adresses IP sont autorisées à envoyer des requêtes avec une authentification de base à l'API REST ADOIT.

  • Restrictions IP du portail de l'organisation : contrôlez les adresses IP autorisées à accéder au portail d'organisation

Configuration

Pour configurer une restriction IP :

  1. Cliquez sur Ajouter une restriction IP pour créer une nouvelle règle IP.

  2. Sous Mode, sélectionnez Autoriser ou Refuser pour spécifier si la règle autorise ou bloque l’accès.

  3. Sous Appliquer à, sélectionnez Tous pour appliquer la règle à toutes les adresses IP, ou choisissez IP personnalisée pour définir des adresses IP ou des plages spécifiques. Lorsque vous sélectionnez IP personnalisée, vous pouvez saisir une seule adresse IP (par exemple, 192.168.1.1) ou utiliser un format générique (par exemple, 192.168.*) pour englober une plage plus large d’adresses.

Comment fonctionnent les restrictions IP

Gardez à l’esprit ce qui suit lors de la configuration des restrictions IP :

  • S’il existe des restrictions d’adresse IP mais qu’aucune règle de correspondance n’est trouvée, l’option par défaut est « Refuser ».

  • Si aucune restriction IP n’est définie, le comportement par défaut dépend de la fonctionnalité :

    • Restrictions IP de la page d’administration : la valeur par défaut est « Autoriser »

    • Restrictions IP Basicauth : La valeur par défaut est « Refuser »

    • Restrictions d’adresse IP du portail d’organisation : la valeur par défaut est « Autoriser »

  • C’est la première règle de correspondance qui décide. Supposons que vous ajoutiez les restrictions IP suivantes :

    • Mode : Autoriser, Appliquer à : 192.*

    • Mode : Refuser, Appliquer à : 192.168.0.1

    Dans ce cas, l'option « Refuser » n’aurait aucun effet, car la valeur « autoriser » s’applique déjà à l’adresse 192.168.0.1.

Exemple

Pour refuser toutes les adresses IP commençant par 192., refusez l’adresse IP 193.168.0.1 et autorisez toutes les autres adresses IP :

Mode : Refuser, Appliquer à : 192.*

Mode : Refuser, Appliquer à : 193.168.0.1

Mode : Autoriser, Appliquer à : Tous

Pour autoriser toutes les adresses IP commençant par 178, à l’exception de 178.6.6.6, et refuser toutes les autres adresses IP :

Mode : Refuser, Appliquer à : 178.6.6.6

Mode : Autoriser, Appliquer à : 178.*

Mode : Refuser, Appliquer à : Tous

Récupération de l’accès à l'Administration ADOIT

Si vous vous êtes accidentellement verrouillé et avez verrouillé tous les utilisateurs hors de l' Administration ADOIT en raison de restrictions IP restrictives, vous pouvez retrouver l’accès en modifiant un fichier de configuration :

  1. Accédez au répertoire <Tomcat>/webapps/ADOIT17_3.

  2. Ouvrez le fichier adoxx_web.properties dans un éditeur de texte disposant de privilèges d’administration.

  3. Recherchez le paramètre auth.config.admin.forceConstraints et définissez sa valeur sur false.

  4. Enregistrez les modifications et redémarrez le serveur Web Apache Tomcat pour appliquer les modifications.

Après avoir récupéré l’accès, vérifiez et ajustez vos paramètres de restriction IP.

Paramètres généraux

Pour modifier les paramètres généraux d’authentification :

  • Allez dans Authentification > Plus d’options, puis cliquez sur Paramètres généraux.

Les paramètres suivants sont disponibles :

  • Traçage: Activez l'enregistrement du suivi d’authentification afin que des détails supplémentaires sur l'authentification soient enregistrés dans les journaux du serveur Web. Ceci est utile dans la phase de configuration des mécanismes d’authentification tels que SAML. Le suivi sera automatiquement désactivé au redémarrage du serveur Web.

  • Réinitialiser la configuration: Réinitialisez les paramètres d’authentification aux paramètres d’usine. Toutes les modifications précédemment appliquées seront perdues.