Ajouter un authentificateur
Vous ajoutez des authentificateurs afin de pouvoir les ajouter aux stratégies d‘authentification. L‘authentificateur définit généralement une méthode d‘authentification, telle qu‘un mot de passe (par exemple, un mot de passe de console
Cylance
) ou une connexion à un tiers pour une authentification telle que Active
Directory
, Okta
, ou Ping Identity
. Vous les ajoutez aux stratégies d‘authentification pour spécifier les types d‘authentification que les administrateurs doivent effectuer pour se connecter à la console Cylance
et que les utilisateurs doivent effectuer pour activer des applications ou des agents Cylance Endpoint Security
( par exemple, l‘application CylancePROTECT Mobile
ou CylanceGATEWAY
). Vous pouvez combiner plusieurs authentificateurs dans une stratégie d‘authentification pour fournir plusieurs étapes d‘authentification. Par exemple, vous pouvez combiner l‘authentificateur Enterprise avec une invite de mot de passe à usage unique dans une stratégie pour obliger les utilisateurs à s‘authentifier à la fois avec leur mot de passe de console Cylance
ou de poste et un mot de passe à usage unique.Si vous ajoutez un authentificateur SAML, téléchargez un exemplaire du certificat de signature de votre IDP.
- Sur la barre de menus, cliquez surParamètres > Authentification.
- Cliquez surAjouter un authentificateur.
- Dans la liste déroulanteType d‘authentificateur, sélectionnez l‘un des authentificateurs suivants :ÉlémentDescriptionEntra(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationEntra. Procédez comme suit :
- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise. Le code est envoyé à l‘adresse e-mail associée à l‘utilisateur dans votre locataire.
- Dans le champURL de demande de connexion, saisissez l‘URL de connexion spécifiée dans les paramètres d‘authentification unique d‘enregistrement de l‘application correspondant à votre fournisseur d‘identité. Par exemple, dans le portailEntra, accédez à Application d‘entreprise > Application CylancePROTECT > Propriétés > Paramètres d‘authentification unique > URL de connexion.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Dans le champID d‘entité SP, saisissez l'Identifiant (ID d‘entité)utilisé dans la configuration SAML dansEntra. Ce champ est obligatoire et la valeur que vous saisissez doit correspondre à l‘identifiant (ID d‘entité) dansEntra.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
Personnalisé (SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent des informations d‘identification personnalisées. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
Mot de passe administrateur CylanceSélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification de consoleCylance. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
Refuser l‘authentificationSélectionnez cette option si vous souhaitez utiliser une stratégie d‘authentification pour empêcher les utilisateurs ou les groupes d‘utilisateurs d‘accéder à la consoleCylanceou à un autre service. Vous pouvez ajouter une autre stratégie ou une exception d‘application pour autoriser l‘accès à un sous-ensemble d‘utilisateurs.- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
DuoMFASélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de l‘authentification multifactorielleDuo.Avant d‘ajouterDuoen tant qu‘authentificateur, vous devez créer une application d‘API d‘authentification. Pour obtenir des instructions, consultez les informations deDuo.Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Dans la sectionConfiguration DUO MFA, saisissez le nom d‘hôte de l‘API, la clé d‘intégration et la clé secrète. Vous trouverez ces informations dans l‘onglet Applications du compteDuode votre organisation. Pour plus d‘informations, consultez la documentation Duo.
EnterpriseSélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de leurs informations d‘identification pourActive Directory, LDAP ou. Les informations d‘identification qu‘un utilisateur utilisera dépendent du type de compte qui est la source de son compte utilisateur dans la console. Procédez comme suit :myAccount- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
FIDOSélectionnez cette option si vous souhaitez que les utilisateurs enregistrent un terminalFIDO2et l‘utilisent pour vérifier leur identité. Les types de terminaux pris en charge incluent les smartphones, les clés de sécurité USB ouWindows Hello.- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
LorsqueFIDOest le premier facteur d‘authentification et qu‘un utilisateur enregistre un terminal pour la première fois, un mot de passe à usage unique est également envoyé à l‘adresse e-mail qu‘il utilise pour se connecter. LorsqueFIDOest utilisé comme deuxième facteur dans une stratégie, un mot de passe à usage unique n‘est pas requis lorsqu‘un utilisateur enregistre un terminal pour la première fois.Pour plus d‘informations sur la suppression des terminaux enregistrés d‘un compte d‘utilisateur, reportez-vous à la section Supprimer un terminalFIDOenregistré pour un compte utilisateur dans le contenu relatif à l‘administration.Annuaire intégré (Active Directory/Entra ID/LDAP)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leur mot de passeActive Directory. Si vous sélectionnez cette option, votre locataireCylance Endpoint Securitydoit disposer d‘une connexion à l‘instance de l‘annuaire de l‘entreprise. Pour plus d‘informations, reportez-vous à Association à votre annuaire d'entreprise. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
Adresse IPSélectionnez cette option si vous souhaitez restreindre l‘accès des utilisateurs en fonction de leur adresse IP. Vous pouvez créer plusieurs authentificateurs d‘adresses IP et les utiliser pour gérer l‘accès de différents groupes, mais vous ne pouvez attribuer qu‘un seul authentificateur d‘adresses IP par stratégie.- Saisissez un nom pour l‘authentificateur.
- Dans le champPlages d‘adresses IP, spécifiez une ou plusieurs adresses IP, plages IP ou CIDR. Séparez les entrées par une virgule.
- Cliquez surEnregistrer.
Compte localSélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationBlackBerry Online Account(). Procédez comme suit :myAccount- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
OktaMFASélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide deOkta. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Dans la sectionConfiguration Okta MFA, saisissez la clé d‘API d‘authentification et le domaine d‘authentification.
- Cliquez surEnregistrer.
Okta(OIDC)Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide deOkta. Procédez comme suit :- Dans la liste déroulante située sousOkta, sélectionnezOIDC.
- Saisissez un nom pour l‘authentificateur.
- Dans la sectionClient du fournisseur d‘identité, saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
- Cliquez surEnregistrer.
Okta(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationOkta. Procédez comme suit :- Dans la liste déroulante située sousOkta, sélectionnezSAML.
- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
OneLogin(OIDC)Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide deOneLogin. Procédez comme suit :- Dans la liste déroulante située sousOneLogin, sélectionnezOIDC.
- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans la sectionConfiguration OneLogin, saisissez l‘URL du document de découverte OIDC, l‘ID client, le secret de client et la méthode d‘authentification.
- Cliquez surEnregistrer.
OneLogin(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationOneLogin. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
Password à usage uniqueSélectionnez cette option si vous souhaitez que les utilisateurs saisissent un mot de passe à usage unique en plus d‘un autre type d‘authentification.Procédez comme suit :Si vous sélectionnez cette option, vous devez également ajouter un autre authentificateur à votre stratégie d‘authentification et le classer plus haut que le mot de passe à usage unique.- Saisissez un nom pour l‘authentificateur.
- Dans la sectionConfiguration du mot de passe à usage unique, dans la première liste déroulante, sélectionnez un certain nombre d‘intervalles dans la liste déroulante. Tout code dans la fenêtre est valide s‘il précède ou suit le code attendu par le nombre d‘intervalles d‘actualisation que vous spécifiez. L‘intervalle d‘actualisation est de 30 secondes et le paramètre par défaut est 0.
- Dans la sectionConfiguration du mot de passe à usage unique, dans la deuxième liste déroulante, indiquez le nombre de fois où les utilisateurs peuvent ignorer la configuration de l‘application OTP et s‘authentifier sans saisir de code.
Ping Identity(OIDC)Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide dePing Identity. Procédez ainsi :- Dans la liste déroulante située sousPing, sélectionnezOIDC.
- Saisissez un nom pour l‘authentificateur.
- Dans la sectionClient du fournisseur d‘identité, saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
- Dans la liste déroulanteAlgorithme de signature du jeton d‘ID, sélectionnez l‘un des algorithmes de connexion.
- Cliquez surEnregistrer.
Ping Identity(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationPing Identity. Procédez comme suit :- Dans la liste déroulante située sousPing, sélectionnezSAML.
- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
- Cliquez surEnregistrer.